액티브, 마스터키 사용 주의 경고 및 업데이트 알림
▶ # 스캠 댓글에 의한 계정 도난과 사고 대처 방법 ◀
스팀잇 kr 커뮤니티로 흘러들어오는 스캠 댓글을 감시하는 깨끗하고 엄선된 엑스트라버진 올리브유로 구동 중인 마아냐봇(@maanyabot)입니다. 오늘은 안타까운 소식과 업데이트 정보를 가지고 왔습니다.
# 체인에 올라오는 비밀번호를 감시 중인 봇이 있습니다.
2018년 4월 5일에 @newbijohn님께서 안타깝게도 해킹을 당하셨습니다.
이 소식과는 별개로 스팀클리너 팀의 @guiltyparties님으로부터 메시지를 받았습니다. @chumah라는 계정이 스팀잇 블록체인을 감시하며 개인 키를 자동으로 탈취, 비밀번호를 변경하고 지갑 재산을 전송하는 봇인 것 같으니 kr 커뮤니티에 경고 포스팅을 하면 어떻겠냐는 제안을 했습니다. @chumah는 @newbijohn님을 해킹하여 재산을 탈취한 계정입니다. @chumah의 지갑 기록을 보면 월 마다 2 ~ 3명 이상의 피해자가 확인됩니다.
약 한 달 전에도 kr 커뮤니티에서 피해받으신 분이 계시네요... 계정명이 익숙하다했는데... ㅠ
4월 6일 오후 4시 12분, 현재 블록이 잘 읽어지지 않아서 steemd에도 최근 기록이 안보이는 것 같습니다. 스캠 감시 기능도 중지되어있습니다.
# 포스팅 후에는 작성한 포스트를 다시 확인. 틈틈히 지갑도 확인.
- 포스팅 할 때 마다 비밀번호를 입력하시는 분
- 로그인이 풀린 상태에서 포스팅하기 위해 비밀번호를 입력하셨던 분
- 방금 지갑에서 자산을 전송하셨던 분
이라면 특히 비밀번호를 복붙했을 때 포스트 내용에 들어가버리진 않았는지, 송금 메모에 작성하시진 않았는지(이 경우엔 영어로 경고가 나옴) 확인해주세요. 특히, 액티브키를 복사-붙여넣기 하신 이후에는 관련 없는 글을 '복사' 하셔서 실수로 다른 곳에 노출되지 않도록 주의해주세요. 지갑에서 본인의 기억이 없는 전송 내역이 보인다면 바로 비밀번호를 변경해주세요.
# 액티브 키 사용 시 주의, 마스터 키는 절대 사용하지 말 것.
스팀잇을 이용하실 땐 반드시 포스팅 키를 사용하도록 합시다. 액티브 키는 조심해서 사용하시고, 마스터 키는 절대 사용하시면 안됩니다.
- 비밀번호 확인 : https://steemit.com/@계정명/permissions 이 작업을 할 때만 마스터키를 사용할 것.
- 비밀번호 변경 : change_password 마스터키가 필요함.
- 도난 계정 복구 : recover_account_step 잃어버리기 전의 마스터키, 이메일 주소가 필요함.
# 모바일에선 비밀번호 입력을 더 주의할 것.
많은 분들께서 무작위로 생성된 스팀잇의 비밀번호를 입력하시느라 복사-붙여넣기를 많이 이용하고 계실 것입니다. 특히, 모바일에서 복사 실수로 인해 키가 노출되고 계정을 탈취 당하는 경우가 스팀잇 해킹 사고의 대부분을 차지한다고 합니다. 모바일에서 스팀잇을 사용하실 때엔 되도록이면 액티브 키를 사용하지 않는 것을 추천드립니다. 액티브 키를 요구하는 서비스(busy, steemconnect 등)도 사용하지 않으시는 것을 권장드립니다.
steemconnect의 피싱 사이트가 굉장히 많습니다. 최근에는 자신들이 서비스 중인 자동 보팅봇에 계정 정보를 제공하면 보팅을 해준다는 방식으로 사람들을 속이는 유형이 많아졌습니다. 어제까지 잘 작동하던(?) 피싱 사이트였는데 오늘은 사이트를 철거해서 @arcange 님의 포스트에서 사진을 가져왔습니다.
# 비밀번호 관리 프로그램을 사용할 것을 권장.
크롬 브라우저의 자동 비밀번호 저장 기능에서부터, LastPass(윈도우) 또는 1Password(맥) 등의 비밀번호 관리 프로그램을 골라 잡아 사용하시면 피싱 당하실 확률이 급감합니다. 아무리 유사하게 만들더라도 관리 프로그램은 진짜 사이트와 피싱 사이트를 구분해낼 수 밖에 없습니다. 구분하는 것이 엄청난 기술을 필요로 하는게 아니라서 그렇습니다. 관리 프로그램이 자동으로 채워주지 않는 로그인 창은 뒤도 안보고 떠나시면 되겠습니다.
비밀번호 관리 프로그램이 해킹 당하면 어떡해요? 라는 질문도 가능합니다. 실제로 LostPass는 해킹을 당한 전력이 있습니다. 암호화 되어 피해는 없다고 주장하지만요. 피해가 있었다면 벌써 망했을거라 생각하고 저도 사용하고 있습니다.
그러나, 관리 프로그램이 해킹을 당했을 때
- 수 많은 관리 프로그램 사용자의 계정을 뒤져서
- 나의 스팀잇 계정 정보를 찾아낸 이후
- 지갑을 털어가는
확률은 굉장히 적을 것입니다. 가까이 있는 누군가가 여러분이 비밀번호를 입력하는 것을 보고, 스팀잇에 접속해서 지갑에서 빼갈 가능성도 없진 않겠지만 거래소로 전송하는 순간 잡을 수 있겠죠? 용의자 범위를 줄일 수도 있습니다.
복사 붙여넣기로 인한 사고도 없앨 수 있습니다. 다만, 마스터키는 비밀번호 관리 프로그램에도 저장하지 말고 종이 등에 작성 또는 프린트하여 따로 보관하시기 바랍니다.
# 이번 마아냐 봇의 업데이트
기존의 마아냐봇은 upvoteme, sleemit 등의 알려진 스캠 도메인과 bit.ly, tinyurl.com 등 한국에서 잘 사용하지 않는 URL 단축 서비스(URL Shortener)의 도메인이 포함된 경우, 스캠 경고 댓글을 달았습니다.
URL 단축 서비스는 스캐머가 아니라도 사용할 수 있는 기능이기 때문에, 무작정 경고 댓글을 달게 놔둘 수가 없었습니다. 그냥 자신에게 보팅해달라는 스패머들도 사용하고 있었고... bit.ly 같은 경우엔 @asbear님이 프로필 개인 사이트 주소로 사용하시기도 합니다.
asbear(@asbear)
- 스팀잇 백업 증인
- @krguidedog을 운영하며 스팸 청소 활동을 하는 분
- 이 업데이트의 주요 원인이 된 분
- 약 20일 간 모니터링하는 동안 유일하게 발견한 한국인 bit.ly 사용자
- 오늘만은 assbear (양갈래 트 모님께 배움)
그리하여, 단축 URL이 포함되어있는 경우 본래의 URL을 찾아내는 기능을 추가했습니다. 기존의 스캠 경고 댓글은 본래의 URL이 스캠 도메인과 연관이 있을 경우에 달리게 됩니다.
그러나 외국의 단축 URL을 사용하는 분들 중에 선한 이용자보다 스캐머, 스패머의 비율이 월등하게 높으므로 단축 URL만 확인되는 경우에도 간단한 주의 문구를 달도록 하였습니다. 봇이 단 댓글은 전부 확인하고 있으니, 오판한 경우에는 댓글 삭제 및 화이트 리스트에 추가할 것입니다. 봇이 단 댓글에 대댓글을 붙이시는 경우에는 제가 삭제할 수 없으니 삭제 될 때까지 조금 기다려주시거나 스팀챗(maaanya), 카톡 1:1 채팅방으로 연락 부탁드립니다.
봇의 알람글에 감사 댓글을 달아주시는 분들이 계십니다. 덕분에 계속 운영할 수 있는 기력과 에너지를 받고 있습니다. 감사합니다. 아직 사용하신 분이 없는 것으로 확인되는데, 스캠이 의심스러운 댓글은 !이게뭐야? 또는 !이거뭐야? 라고 대댓글을 작성하는 것으로 마아냐봇을 호출할 수 있습니다. 방치되어있는 요상한 댓글을 발견하실 경우엔 한 번씩 사용해주시면 큰 도움이 됩니다.
오늘도 좋은 하루 되세요.
감사합니다! 어쩐지 steemed가 며칠 전으로 돌아가 있더라니~
알람에 대댓해도 너무 피곤하진 않으신 거죠? 이상한게 그냥 있으면 호출 불러보겠습니다 :)
물론입니다. 편하게 이용해주세요!
원래는 마스터키를 종이에 인쇄하고 포스팅키 자동로그인만 사용하는데, 이번에 스달 전송 등의 일을 할 일이 생겨서 이런 일을 마스터키로 하지 말고 액티브키도 따와야 하지 않을까 생각했습니다.
전 개인컴퓨터에선 액티브키도 LastPass에 넣어뒀습니당.
정말 도움되는 조언입니다. 당장 패스워드 재발급 받아야겠어요~!
리스팀 합니다!
리스팀 감사합니다. 저는 패스워드를 바꾸는 과정에서 한 번 잃어버렸어서 겁이 납니다... ㅋㅋㅋㅋ
마신봇 출동~!! 제대로 하자~ 마신봇~!!
@홍보해
감사합니다. /큰절
우엉... 봇이 주인만큼 버네요 ㅋㅋㅋㅋㅋㅋ
기특하다...ㅋㅋㅋㅋㅋ
포스팅을 쓴건 주인이기 때문... ㅠㅜ
아이고.. 깜짝놀라서 뉴비존님께 다녀와 봤습니다.
그래도 바로 회복을 하신듯 해서 다행이에요 ㅠㅠ
이제는 busy를 가장한 스캐밍까지 등장했나보군요.
잘부탁드려요!! 감사합니다!!
토닥토닥... 감사합니다 ' -')b 즐거운 주말 되세요!
수고가 많으시네요. 로봇 호출하는 사용법을 적어 놓든지 해야겠네요. 아님 마야나봇? 이라고 했을때 댓글로 사용법을 안내해주는 기능이 있어도 요긴할 것 같습니다. (그전에 사용법을 다 익힐 가능성이 훨씬 높겠네요. ㅎㅎ) busy.org CTO인 @fabien에게 관련 사실 레포팅하긴 했는데 혹시 busy.org 나 steemconnect 에 제안하실 내용이 있으신가요? 제가 대신 전달해드리도록 하겠습니다. 일단 제일 먼저 떠오르는 것은 steemconnect 를 이용한 로그인시 master key 사용 옵션을 제거하는 방안도 있을 것 같네요.
마스터키 사용을 제거하는 것만으로도 도난의 가능성이 없어지니 좋을 것 같습니다. busy를 사용하기 위해 액티브 키를 알아보는 행위 또한 마스터키만 사용하는 유저를 대폭 줄여줄 것 같아요. 그리고 기능은 저거 하나 밖에 없어서... 뭔가 더 기능이 늘어나면 말씀해주신대로 도움말 명령어를 넣도록 하겠습니다 'ㅁ'b
Congratulations @maanyabot! You have completed some achievement on Steemit and have been rewarded with new badge(s) :
Click on any badge to view your own Board of Honor on SteemitBoard.
To support your work, I also upvoted your post!
For more information about SteemitBoard, click here
If you no longer want to receive notifications, reply to this comment with the word
STOPDo not miss the last announcement from @steemitboard!
이런 문제였었군요:( @mannya 님 대단하셔요.
역시 마스터키는 봉인이 되어야합니다! 스팀커넥팅을 쓸 때 정말 조심해야겠네요. 리스팀합니다.
예를 들어, 저는 길에서 신용카드나 분실물을 주웠을 경우에 경찰서나 우체국에 맡기지 않고, 굳이 패널티를 감수하며 (...) 제가 보관했다가 주인과 연락이 되었을 경우에 돌려주는 편입니다. 그래서 이번 건의 경우도, 오히려 제가 chumah 같은 악인이 먼저 주워가는 것보다 제가 먼저 습득한 후에 되돌려주는게 낫지 않을까 같은 생각을 하고 있습니다. 리스팀 감사합니다.
호옹이 새롭네요..! 해킹 툴을 오히려 역 이용해서 주인에게 돌려주게 한다라, 제가 이해한게 맞는지 모르겠네요. 만약 하신다면 스팀잇 가디언이 되실 것 같아요:)
대체 chumah는 어떻게 스팀잇 블록체인을 감시해서 계정을 탈취한 걸까요.
스캠 댓글을 감시하는 방법과 같습니다. 스팀잇에 올라오는 글을 프로그램으로 전부 읽어서 판단하는거에요. 스캠댓글이 나타나면 대댓글을 달아놓듯이, 비밀번호가 올라오면 가로채면 됩니다.