트레저, 피싱 사기에서 악용된 연락처 양식 보안 경고 발령

암호화폐 하드웨어 지갑 제공업체 트레저(Trezor)가 사용자들에게 보안 경고를 발표하며, 악의적인 행위자들이 회사를 사칭하고 민감한 정보를 피싱하기 위해 새로운 전술을 사용하고 있다고 경고했습니다.

6월 23일 소셜 미디어 플랫폼 X(구 트위터)를 통해 게시된 글에서 트레저는 공격자가 회사의 연락처 양식을 악용해 합법적인 트레저 지원 응답처럼 보이는 사기 이메일을 보내는 보안 결함을 확인했다고 밝혔습니다.

지갑 제공업체에 따르면, 이러한 사기 이메일은 진짜처럼 보이지만, 악의적인 행위자들이 무심한 사용자들을 노려 민감한 정보를 얻고 계정을 손상시키기 위한 피싱 시도입니다.

무슨 일이 있었나 이메일 유출 사건은 없었습니다. 공격자는 피해자 주소를 대신해 지원 요청을 제출해 트레저의 자동 응답 시스템이 합법적인 지원 메시지처럼 보이는 이메일을 발송하도록 유도했습니다. 연락처 양식은 여전히 안전합니다. 향후 사고 방지를 위해 지속적으로 연구 중입니다…

트레저는 상황을 명확히 하며 내부 이메일 시스템의 유출이 없었음을 확인했습니다. 대신 공격자들은 표적이 된 사용자들의 이메일 주소를 사용해 지원 요청을 제출했습니다. 이는 트레저의 자동화 시스템이 피싱 메시지에 신뢰도를 더하기 위해 합법적인 지원 응답처럼 보이는 이메일을 발송하도록 유도했습니다.

트레저는 문제가 해결되었으며, 추가적인 안전 장치를 도입해 향후 사고를 방지하기 위해 계속 조사 중이라고 강조했습니다.

그러나 이번이 트레저가 표적이 된 첫 번째 사건은 아닙니다. 지난 1월, 회사는 뉴스레터 구독자 이메일 데이터베이스에 접근한 공격자들이 제3자 서비스를 이용해 트레저 팀을 사칭하며 사용자들에게 악성 이메일을 발송한 사건을 보고한 바 있습니다.

반복되는 사건들로 인해 트레저의 보안 수준에 대한 의문이 제기되고 있습니다. 최근 경쟁사 지갑 제조업체 레저(Ledger)의 보안 부서인 레저 돈존(Ledger Donjon)의 연구원들은 트레저 세이프(Trezor Safe) 모델이 정교한 공격으로부터 완전한 보호를 제공하지 못할 수 있다는 우려를 제기했습니다.

트레저는 이제 사용자들에게 경계를 늦추지 말고 엄격한 보안 관행을 준수해 자산을 안전하게 보호할 것을 촉구하고 있습니다.

“기억하세요, 지갑 백업을 절대 공유하지 마십시오. 지갑 백업은 항상 비공개로 오프라인에 보관해야 합니다. 트레저는 절대로 지갑 백업을 요청하지 않습니다.”라고 경고했습니다.

번역: ShadoWHawk42