거래 아카데미로 위장한 피싱 사기 조사: 레딧에서 악용 신고까지
주니어 보안 연구원이 레딧에서 의심스러운 '거래 교육' 사기에 대한 게시물을 발견했습니다. 피해자들은 소액 스왑을 유도받은 후 자금을 인출당하려는 시도에 직면했습니다. 이번 조사의 목표는 begini.ltd 사이트를 감사하고, 그 인프라에 대한 증거를 수집하며, 사이트 폐쇄 절차를 시작하는 것이었습니다. 사용된 도구로는 칼리 리눅스(Nmap, FFUF), OSINT, Revoke.cash가 있습니다.
이 사기는 전형적인 돼지 도살 사기입니다:
- 미끼: 가짜 취업 제안이나 '무료 교육'.
- 준비 운동: 수익을 시뮬레이션하기 위해 소액을 이체.
- 함정: 무한 승인(ERC-20 Approve)을 요청하는 화면을 표시하여 사기꾼에게 지갑 토큰에 대한 무제한 접근 권한을 부여.
프론트엔드 분석: 데이터를 노리는 피싱
웹사이트 소스 코드에서 등록 양식을 발견했습니다:
<form class="register-form" action="send.php" method="POST">
이 양식은 이름, 전화번호, 텔레그램 핸들을 평문으로 POST 방식으로 send.php로 전송합니다. 서버는 302 상태 코드와 즉시 리디렉션으로 응답하여 피해자가 페이지에 머무는 시간을 최소화합니다.
네트워크 탭(F12)에서 cf-cache-status 및 cf-ray와 같은 헤더는 Cloudflare 사용을 나타냅니다. 데이터는 암호화 없이 수집됩니다—전형적인 데이터 수집기입니다.
능동 정찰: 칼리 리눅스의 Nmap과 FFUF
포트 스캔 및 디렉토리 퍼징을 위해 칼리 리눅스 도구로 이동합니다.
Nmap: 포트와 서비스
nmap 명령어는 다음을 보여주었습니다:
- 포트 80(HTTP)과 443(HTTPS)이 열려 있습니다.
- 2026년 2월 Cloudflare Inc ECC CA-3에서 발급한 인증서.
- 포트 8080과 8443에서 이상 징후—가능한 관리자 패널 또는 프록시.
배너 그래빙은 'Crypto Trading Academy 2025'를 보여주었습니다—2026년 기준으로 구형 템플릿입니다.
FFUF: 디렉토리 퍼징
ffuf 퍼저는 다음을 발견했습니다:
- success.php (200, ~5KB)—리디렉션을 위한 JS 스크립트가 있는 '터미널'.
- PHP 백엔드를 확인하는 PHP 엔드포인트.
- 차단된 /admin/ 및 /config/ 디렉토리(Cloudflare에서 403).
인프라는 Cloudflare 뒤에 있는 표준 PHP 피싱 키트로, 비표준 포트와 성급한 설정의 징후가 있습니다.
악용 신고 및 폐쇄 제출
스크린샷, 네트워크 로그, Nmap/FFUF 결과를 포함한 서류를 작성했습니다. Cloudflare에 신고서를 제출했습니다(신고 ID: 6d27e144bc7f8061). 사건 확인을 받았으며, 인프라 폐쇄가 시작되었습니다.
핵심 요점:
- ERC-20의 무한 승인은 토큰 도난의 주요 경로입니다; Revoke.cash를 통해 권한을 확인하세요.
- Cloudflare는 자동으로 피싱을 차단하지 않습니다—악용 신고가 효과적입니다.
- 비정상적인 포트(8080/8443)는 종종 피싱 키트의 관리자 패널을 드러냅니다.
- FFUF와 Nmap은 사기 인프라를 역분석하는 기본 스택입니다.
- 구형 템플릿(배너의 연도)은 대량 캠페인의 표지입니다.
중간/시니어 전문가를 위한 권장 사항
유사한 사기를 감사할 때:
- 디렉토리용으로 common.txt와 같은 단어 목록으로 FFUF를 사용하세요.
- 스크립트와 버전을 위해 -sC -sV 옵션으로 Nmap을 사용하세요.
- 평문 트래픽을 위해 네트워크를 확인하세요.
- 악용 신고에서 추적을 위해 cf-ray를 기록하세요.
총 증거는 10MB 이상의 스크린샷과 로그로, 제공자의 응답을 가속화했습니다.
— Editorial Team
아직 댓글이 없습니다.