Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Celsius 이메일 시스템 침해로 고객 피해 발생
작성일 2021-04-16 조회 92

Cryptocurrency

 

암호화폐 보상 플랫폼인 Celsius Network가 고객 정보를 노출해 피싱 공격을 초래한 보안 침해 사례를 공개했다.

 

Celsius의 CEO는 Celsius의 제3자 마케팅 서버가 손상되었고, 공격자들이 Celsius의 일부 고객 리스트에 접근할 수 있게 되었다고 말했다.

 

공격자는 일부 고객들의 이메일 목록과 연결된 백업 전자메일 배포 시스템에 액세스 할 수 있었다. 이를 이용하여 피싱 e-mail 공지를 보냈는데, 그 중 일부가 Celsius의 고객인 것으로 밝혀졌다.

 

Celsius의 자문단은 "수신자들이 피싱 e-mail이 Celsius로부터 온 것으로 믿게 하고, 수신자의 암호화폐 지갑으로부터 암호화폐 자산의 소유권을 가져가려는 취지었다."고 밝혔다.

 

고객 목록에 접근한 후, 공격자들은 새로운 Cescue Web Wallet을 홍보하는 피싱 텍스트와 전자 메일에서 Cescue Networks를 사칭했다. 문자에는 사람들이 이 사이트를 방문하도록 유도하기 위한 인센티브로 지갑을 만들고 프로모션 코드를 입력하면 CEL 암호화폐로 500달러를 제공한다고 적혀 있다.

 

Celsius phishing text message

[그림 1. 피싱 문자]

 

링크를 클릭할 경우 Cescue Web Wallet을 만들도록 요청하는 페이지로 이동된다.

 

이 가짜 지갑을 만들려고 할 때, 사이트는 방문객들에게 다른 온라인 지갑을 연결하고 그 지갑의 SEED 문구를 입력하라고 요청한다. SEED 문구가 제공될 경우 공격자가 지갑을 가져와 지갑 안에 있는 모든 암호화폐를 훔칠 수 있게된다.

 

Celsius phishing site

[그림 2. Celsius 피싱 사이트]

 

VirusTotal은 해당 사이트가 Njalla  등록 기관에 등록되었음을 보여주는 DMS SOA 레코드를 가지고 있었음을 나타냈다.

 

Njalla SOA

[그림 3. VirusTotal Njalla SOA]

 

Njalla는 스웨덴에 위치한 등록기관으로 Fancy Bear와 Cozy Bear와 같은 러시아 해킹 그룹이 즐겨 찾는 곳이다.

 

출처

https://www.bleepingcomputer.com/news/security/celsius-email-system-breach-leads-to-phishing-attack-on-customers/

 

첨부파일 첨부파일이 없습니다.
태그 Celsius