이스트시큐리티 "스타벅스 등 사칭한 피싱메일 열면 가상자산 지갑 자동연결해 코인 탈취"
[금융소비자뉴스 강승조 기자] '대체불가토큰(NFT) 프리민팅(free minting)'을 내세워 가상화폐를 탈취하는 사기가 기승을 부리고 있다.
NFT 프리민팅이란 처음 발행되는 NFT를 무료로 나눠주는 것을 말한다.
보안 전문 기업 이스트시큐리티는 최근 'NFT 프리민팅'을 내세워 가상화폐를 탈취하는 피싱 메일이 대규모로 유포되고 있다며 주의할 것을 바랐다.
이스트시큐리티에 따르면 공격자들은 'NFT 프리민팅'이라는 이메일 제목에 달고, 클릭률을 높이기 위해 실제로 발행돼 흥행에 성공한 롯데홈쇼핑 캐릭터 벨리곰이나 스타벅스 등 인기 NFT를 언급한다.
사용자가 이메일 본문을 열면 실제 공식 사이트에서 발송된 것처럼 위장한 피싱 메일과 함께 '참여하기' 버튼이 나타나고 이를 누르면 공격자가 제작한 피싱 페이지로 접속된다.
피싱 페이지는 매우 정교하게 제작돼 접속 시 QR코드를 보여주고, 브라우저에 가상자산 지갑 플러그인이 설치되어 있을 시 자동 연결도 가능하도록 구현됐다.
공격자들은 프리민팅을 위해서는 일종의 수수료인 '가스비'를 지불해야 한다며 지갑 연결을 유도하며 지갑이 피싱 페이지와 연결되면 지갑 안에 있던 가상화폐를 모두 탈취한다.
이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 "기업들의 NFT 사업 진출이 보편화되고 가상자산 투자 참여가 높아지면서 가상자산 탈취를 목적으로 하는 공격들도 점점 증가할 것"이라면서 "NFT 프로젝트의 사이트 주소가 올바른지 잘 확인해 접속해야 한다"고 조언했다.
저작권자 © 금융소비자뉴스 무단전재 및 재배포 금지
