거래소 OTP 해킹(피싱) 피해 사례 및 예방 방법

거래소에서는 보통 2FA(투팩트인증, 2중보안)을 지원합니다.
그중에서 가장 흔한 방법은 Google OTP를 사용하는 것인데요
OTP는 일회용 비밀번호를 만들어서 사용하는 방법으로 보안성이 매우 우수한 방법입니다.
하지만 최근 이런 OPT 보안마저 뚫고 해킹하는 사례가 보여서 공유합니다.

일단 OTP 자체를 해킹하기는 매우 어렵습니다.
그래서 쓰는 방법이 피싱입니다.

일단 아이디, 비밀번호, 핸드폰 번호 등등 개인 정보가 모두 노출된 상황에서
OTP만 필요할 경우입니다.
이 정도 정보가 털렸다는 것은 거래소가 해킹을 당해서 정보가 유출됐다던가
개인 컴퓨터나 핸드폰에 해킹 프로그램이 깔려서 정보가 나간 것입니다.
하지만 그래도 OTP는 알 수가 없는데요

1. 직접 전화해서 물어봅니다.
   물론 거래소 직원을 사칭한다던가 해서 물어봅니다.
   지금 무슨 무슨 문제가 있어서 본인확인해야 한다 하면서 OTP를 물어봅니다.
   이거 말해주면 안 됩니다.
   전화로 물어보는 경우는 없습니다.

2. OTP인증 해지 (빗썸 사례)
   빗썸은 OTP를 설치한 핸드폰 분실이나 고장으로 사용 못할 경우를 대비해서
   OTP를 해지 시켜주는 서비스가 있습니다.
   그 과정은 아래와 같습니다.
   OTP 이용 중 휴대폰을 분실하시거나 고장이 나 인증이 불가능하실 경우 얼굴 대조 신분증 (신분증과 OTP 해제 요청 날짜를 적은 메모를 들고 본인 얼굴이 나오도록 촬영한 셀프 사진) 을 빗썸 메일 [email protected] 로 발송해주시면 해지 가능합니다.
   위조된 신분증으로 사진을 찍어서 OTP를 해지했다고 합니다.
   설마 자신의 얼굴을 보여주면서 범죄를 하겠어? 했겠지요?
   합성 사진인지 알바를 쓴 건지는 알 수 없지만, 피해가 발생했습니다.
   OTP를 풀었다 해도 문자 인증도 받아야 하는데요
   개인 정보로 통신사에 전화를 하거나 통신사 홈페이지로
   (피해 보신분은 통신사 홈페이지의 계정이 동일했기때문에 홈페이지로 통해 신청된거 같다고 했습니다.)
   사용중인 핸드폰을 일시정지 시키고
   다른 전화번호로 착신 서비스를 신청
   다른 전화번호로 받은 인증 문자로 출금했다고 합니다.

3. OTP 재발급
   OTP를 온라인으로 해지가 안되는 거래소는 OTP를 재발급 받습니다.
   OTP 발급할 때, email 인증, sms 인증 이렇게 두 가지가 필요합니다.
   email 인증까지는 가능하겠지요?
   sms 인증을 어떻게 받느냐 위 방법과 동일합니다.
   통신사에 전화를 하거나 통신사 홈페이지를 통해서
   알아낸 개인 정보로 인증을 받습니다.
   전화번호 착신 서비스를 신청합니다.
   이제 문자는 그 번호로 문자를 확인할 수 있습니다.
   모든 거래소 메일 비밀번호를 변경하고
   OTP를 재발급 받습니다.
   본인의 핸드폰에 있는 OPT는 폐기됩니다.
   정작 본인은 접속을 할 수 없는 상태가 되어버립니다.

예방 방법

1. 통신사에 정보 보안 서비스를 신청한다. (비밀번호를 설정해서 본인 확인시 비밀번호를 입력하는 서비스입니다.)
2. 사용하는 비밀번호를 주기적으로 변경한다.
3. 통신사 홈페이지, 메일, 거래소마다 다른 비밀번호를 사용한다.
4. 사용하는 컴퓨터, 핸드폰에 백신 프로그램을 설치한다.
5. 의심스러운 메일의 첨부파일은 열어보지 않는다.
6. 모르는 프로그램은 설치하지 않는다.
7. 모르는 번호로 전화번호로 착신되었다고 문자가 온다면 바로 통신사에 전화해서 해지하고 모든 비밀번호를 변경합니다.
8. 하드웨어 지갑을 사용한다.

자..전 통신사에 정보보안 서비스를 신청하고
하드웨어 지갑을 사러 가야겠습니다.

모두모두 소중한 개인정보와 코인 잘 지키시길 바랍니다.

기사도 떴습니다.
참고 하시기 바랍니다
http://www.etnews.com/20170623000213?SNS=00002