Edgen Crypto·Sep 26 2025, 03:29새로운 고급 피싱 캠페인이 X의 애플리케이션 권한 부여 시스템을 악용하여 암호화폐 커뮤니티 회원을 적극적으로 표적으로 삼아, 완전한 계정 탈취를 가능하게 하고 2단계 인증을 우회합니다.
새로운 피싱 캠페인이 X (이전 트위터)의 암호화폐 사용자들을 대상으로 하며, 위장된 애플리케이션 권한 요청을 통해 2단계 인증을 우회하고, 계정의 완전한 탈취로 이어져 사기성 계획을 홍보하는 데 사용됩니다.
2025년 9월 25일 보고된 바에 따르면, 고급 피싱 캠페인이 X 플랫폼의 애플리케이션 권한 부여 시스템의 취약점을 악용하여 암호화폐 커뮤니티 내의 X 계정을 적극적으로 침해하고 있습니다. 공격은 calendar.google.com과 같은 합법적인 도메인처럼 보이도록 메타데이터 스푸핑을 사용하는 링크를 포함하는 직접 메시지로 시작됩니다. 그러나 이러한 링크는 x(.)ca-lendar(.)com과 같은 악성 사이트로 리디렉션됩니다. 사용자가 상호 작용하면, 악성 코드를 실행하는 페이지로 은밀히 유도된 후 애플리케이션 권한 부여 프롬프트가 표시됩니다. 종종 키릴 문자로 "Google 캘린더" 애플리케이션으로 위장된 피싱 프로그램은 팔로우/언팔로우, 프로필 업데이트, 게시물 생성/삭제와 같은 기능을 포함하여 사용자 X 계정에 액세스할 수 있는 광범위한 권한을 요청합니다. 이러한 권한이 부여되면, 공격자는 전통적인 암호와 2FA를 직접 우회하여 즉각적인 계정 탈취를 달성하고 초기 감지 없이 완전한 제어권을 얻습니다. 침해된 계정은 이후 사기성 암호화폐 계획을 유포하는 데 사용되어 팔로워들에게 재정적 손실을 초래할 수 있습니다. 사용자들은 위험을 완화하기 위해 X 연결된 애플리케이션 페이지를 방문하여 의심스러운 "캘린더" 앱 권한을 검토하고 취소하는 것이 좋습니다.
이 정교한 피싱 기술은 Web3 생태계 내의 보안과 신뢰에 중대한 위협을 제기합니다. 디지털 보안의 초석인 2FA의 직접적인 우회는 단순한 자격 증명 절도를 넘어선 사이버 위협의 심화를 의미합니다. 이러한 발전은 X가 애플리케이션 권한 부여 보안 프로토콜을 강화하도록 요구할 수 있으며, 더 넓은 암호화폐 커뮤니티가 보다 엄격하고 다중 플랫폼 보안 관행을 채택하도록 촉구합니다. 이러한 캠페인의 재정적 영향은 상당합니다. 2025년 8월까지 Scam Sniffer는 다양한 피싱 사기를 통해 15,000명 이상의 피해자로부터 1,200만 달러 이상이 도난당했다고 보고했습니다. 영향력 있는 계정을 표적으로 삼는 것은 기만적인 계획의 도달 범위를 확대하여 시장 정서에 영향을 미치고 의심하지 않는 투자자들에게 더 광범위한 재정적 손실을 초래할 수 있습니다. 이러한 공격의 지속적인 특성은 지속적인 경계와 적응형 보안 조치의 중요한 필요성을 강조합니다.
암호화폐 개발자 Zak Cole은 상황의 심각성을 강조하며 이를 "탐지 없는 완전한 계정 탈취"로 특징지어 공격의 은밀성과 효율성을 강조했습니다. MetaMask 보안 연구원 Ohm Shah는 캠페인의 활성 존재를 확인하며 "실제 환경"에서 관찰되었다고 언급했습니다. Shah는 이 공격이 가짜 로그인 페이지나 암호 도용을 포함하지 않고 X의 애플리케이션 지원을 직접 악용하여 계정 액세스를 얻는다는 점에서 기존 피싱과 다르다고 설명했습니다. Cole은 또한 작동상의 불일치를 발견했습니다. 스푸핑된 Google 캘린더 미리 보기가 권한 부여 시 calendly.com으로 리디렉션되는데, 이는 주의 깊은 사용자에게 경고 신호가 될 수 있는 이상 현상입니다.
이 캠페인은 소셜 미디어 플랫폼을 통해 암호화폐 산업을 표적으로 하는 사이버 공격이 증가하는 더 넓은 패턴에 통합됩니다. 고위 프로필 계정 탈취는 공격자들에게 널리 퍼진 전략이 되었으며, 침해된 계정을 활용하여 사기성 링크를 유포하고 대규모의 종종 신뢰하는 청중에게 기만적인 토큰 증정품을 홍보합니다. 2024년과 2025년 동안 발생한 사건에는 WIRED 기자, NBA, NASCAR, Linus Tech Tips 및 이더리움 공동 설립자 Vitalik Buterin의 계정 침해가 포함되며, 이들 모두 암호화폐 관련 사기를 퍼뜨리는 데 악용되었습니다. 2025년 중반까지 암호화폐 관련 피싱 및 사기 손실 총액은 전 세계적으로 21억 달러를 초과했습니다. 순전히 기술적인 취약점보다는 사회 공학과 인간 요소에 대한 관심이 증가하는 것은 이러한 위협의 진화하는 특성을 강조합니다. 이러한 추세는 개인과 플랫폼이 정교하고 적응력이 뛰어난 사이버 범죄 전술에 맞서 디지털 자산을 보호하는 데 직면한 지속적인 도전을 부각시킵니다.