국내에서 유포 중인 코인 소각 관련 스미싱 캠페인 주의

현재 국내에서 코인 투자방, 로맨스 스캠 등 다양한 코인 관련 스미싱이 유포되고 있으며, 주로 가짜로 제작된 피싱 사이트 또는 악성 앱을 활용해 개인정보 유출, 금전 손실, 코인 탈취 등 다양한 형태로 피해를 주고 있다.

안랩 모바일 분석 팀은 “이더리움 소각”을 명목으로 유포된 스미싱을 통해 실제 유포자가 어떤 시나리오를 통해 피해자로부터 금전을 탈취하는지 접근했으며, 이에 대한 분석 내용을 소개한다.

본문의 스미싱 캠페인은 [그림 1]과 같이 피해자가 기억하지 못하는 과거 이벤트를 통해 이더리움 코인을 채굴했으며, 해당 자산을 복구하기 위해 메시지 내 포함된 실시간 상담 링크를 클릭하도록 유도한다.

[그림 1. 이더리움 코인 소각 관련 스미싱]

 

링크 클릭 시 [그림 2]와 같이 네이버에서 제공하는 ‘네이버 톡톡 서비스’로 접속한다. 메신저에서 유포자는 ‘DUAL-COIN’이라는 이름을 사칭하며, 이는 실제 존재하지 않는 기업이다. 

[그림 2. 네이버 톡톡에 운영되는 스캠 기업 담당자]

사기꾼은 우선 피해자가 실제로 메시지를 받았는지 확인한다. 이는 피해자 확인과 스미싱 내용을 검증하고 이후 절차를 결정하기 위해서다. 또한, 신원 조회를 진행하여 이름, 생년월일, 전화번호 등을 요구한다. 

사기꾼에게 접근을 하기 위해 가짜 개인 정보를 전달했음에도 불구하고 신원 조회가 완료되었다고 피해자에게 알린다. 이를 보아 사기꾼은 타겟으로 선정한 피해자의 개인 정보는 가지고 있지 않는 것으로 추정된다. 

이후 스미싱 문자 내용처럼 특정 개수의 이더리움 채굴 기록이 있다고 피해자에게 알린다.

 

[그림 3. 코인 소각 관련 내용]

 

이어 보유한 이더리움이 소각될 예정이므로, 소각을 취소하려면 피싱 사이트의 코인 지갑 링크에 가입하라고 지시한다. 

해당 링크는 ‘DUAL-COIN’ 피싱 사이트이며, 회원가입 시 사기꾼이 제공한 추천인 코드를 입력해야만 가입이 가능하다([그림 4] 참조).

[그림 4. 듀얼 코인 피싱 사이트 및 회원 가입 페이지]

 

사기꾼이 제공한 추천인 코드로 회원가입을 진행한 후, 아이디를 알려주면 [그림 4]와 같이 해당 계정에 이더리움 58 개가 표시되는 것을 확인할 수 있다. 

[그림 5. 피싱 사이트 내 이더리움 58개]

 

그 후, 연동된 이더리움은 여전히 소각 예정 상태에 있으며, 소각 취소를 원하면 소각 취소 담당자의 안내를 따라야 한다고 말하며, 소각 취소 담당자의 라인 아이디를 알려준다([그림 6] 참조).

[그림 6. 코인 소각 취소 담당자 연결]

 

연결된 라인 담당자는 [그림 7]과 같이 코인 소각 취소를 원하는 사람들끼리 모아 일괄 처리한다며, 사기꾼과 피해자를 제외한 3명을 추가하여 그룹 채팅방을 생성한다. 추가한 3 명은 재접근 시에도 같은 사람들인 것으로 보아 이들은 모두 사기꾼의 조력자들로 추정된다.

이더리움의 소각 취소를 원할 경우, 현재 이더리움 시세의 0.25%에 해당하는 수수료를 요구하며, 58개의 경우 약 48만 원이 필요하다고 설명한다.

[그림 7. 코인 소각 취소 수수료 안내와 바람잡이들]

 

모든 안내 절차가 완료되면 [그림 8]과 같이 피싱 사이트에서 제공한 계좌로 수수료를 입금하라고 지시한다. 이 금액을 입금할 경우 돈을 돌려받을 수 없을 뿐만 아니라, 회원가입 과정에서 제공한 개인정보도 유출될 수 있다.

 

[그림 8. 피싱 사이트 내 입금 계좌]

 

소개된 스미싱 캠페인은 올해 초부터 현재까지도 진행 중으로, 사용자는 이러한 스미싱 캠페인 사례를 인지하고 증명된 정식 사이트를 사용하며 암호화폐 관련 정보를 재확인하는 등 각별한 주의가 필요하다.