피싱 사이트 식별 방법 - 암호화폐 피싱 방어 가이드

피싱 사이트는 암호화폐 분야에서 가장 보편적이고 피해액이 큰 공격 방식입니다. 해커가 실제와 거의 동일한 가짜 웹사이트를 만들어 지갑 연결, 시드 문구 입력, 악성 거래 서명을 유도합니다.

피싱 사이트의 주요 유형

1. 위조 거래소 사이트: 로그인 페이지를 모방하여 ID/비밀번호/2FA 코드 탈취
2. 위조 지갑 사이트: MetaMask 등 공식 사이트 모방, 가짜 앱 다운로드나 시드 문구 입력 유도
3. 위조 DApp 프론트엔드: Uniswap 등 모방, 악성 승인 서명 유도
4. 가짜 에어드롭 페이지: "에어드롭 수령" 빙자하여 자산 전송 승인 유도
5. 가짜 고객 지원: "지갑 인증"으로 시드 문구 요구

도메인 식별 방법

• 글자 교체: "rn"으로 "m" 대체(rnetamask.io), 숫자 "0"으로 "o" 대체
• 접두사/접미사 추가: metamask-wallet.io, login-binance.com 등
• 다른 TLD: .xyz, .net, .co로 공식 .io/.com 대체
• Punycode 공격: 키릴 문자 등으로 동형 도메인 생성

공식 도메인을 기억하세요: MetaMask: metamask.io, Uniswap: app.uniswap.org, Binance: binance.com

북마크를 통해 접근하고, 검색 엔진이나 링크 이동을 피하세요.

피싱의 확산 경로

1. 검색 엔진 광고: 피싱 사이트가 Google 광고를 구매
2. SNS DM: 가짜 지원팀의 "도움" 링크
3. 위조 이메일: 거래소나 프로젝트를 사칭한 "보안 확인" 이메일
4. Telegram 그룹: 봇이 보내는 가짜 링크
5. NFT 에어드롭: 에어드롭 NFT에 피싱 링크 포함

지갑 연결 시 주의사항

1. 서명 내용을 주의 깊게 읽기: MetaMask 팝업에서 구체적 내용 확인
2. 비정상적 승인 요청 경계: 간단한 작업인데 모든 토큰 승인을 요구하면 문제
3. 서명 유형 주의: eth_sign 유형은 매우 위험
4. 거래 시뮬레이션 도구 사용: Pocket Universe, Fire 등 브라우저 플러그인

보안 주의사항

1. 공식 URL을 북마크: 매번 북마크를 통해 접근
2. 피싱 방지 브라우저 플러그인 설치: Pocket Universe, ScamSniffer 등
3. 의심스러운 링크 클릭하지 않기
4. 거래소 피싱 방지 코드 설정
5. 의심하는 자세 유지: "긴급 조치", "한정 수령"은 모두 고도로 의심

바이낸스 공식 사이트에서 전문 보안 보호를 경험하거나, 바이낸스 공식 앱(아이폰은 iOS 설치 가이드 참고)을 다운로드하세요.

피싱 사이트에 당하면 자산을 되찾을 수 있나요?

매우 어렵습니다. 시드 문구를 입력했다면 즉시 진짜 지갑에서 복원하여 모든 자산을 이전하세요. 악성 승인에 서명했다면 Revoke.cash에서 즉시 승인을 취소하세요. 이전된 자산의 회수는 일반적으로 불가능합니다.

VPN으로 피싱을 막을 수 있나요?

막을 수 없습니다. VPN은 네트워크 전송 보안을 보호하지만, 자발적으로 피싱 사이트에 접속하여 정보를 입력한 경우 VPN으로는 차단할 수 없습니다.