مهاجمان صرافی پرکاربرد ارزهای دیجیتال را جعل میکنند تا کاربران را برای ورود به سیستم فریب دهند تا بتوانند اعتبار و در نهایت سرمایهشان را بدزدند.
عوامل تهدید راه خود را برای احراز هویت دو عاملی (2FA) و استفاده از سایر تاکتیکهای فرار هوشمندانه در یک کمپین فیشینگ اخیراً مشاهده شده با هدف تصاحب حسابهای Coinbase برای کلاهبرداری از کاربران از موجودیهای رمزنگاریشان باز میکنند.
مهاجمان از ایمیل هایی استفاده می کنند که افراد محبوب را جعل کرده است کریپتو کارنسی (رمز ارزها ) صرافی برای فریب دادن کاربران برای ورود به حساب هایشان تا بتوانند به آنها دسترسی داشته باشند و سرمایه قربانی را سرقت کنند. نرم افزار PIXM پیدا کرده اند.
تیم تحقیقاتی PIXM Threat در توضیح داد: «آنها معمولاً این وجوه را از طریق شبکه ای از حساب های «سوزکننده» به صورت خودکار از طریق صدها یا هزاران تراکنش توزیع می کنند تا کیف پول اصلی را از کیف پول مقصد خود پنهان کنند. یک پست وبلاگ پنجشنبه منتشر شد. کوین بیس یک پلتفرم مبادله ارز دیجیتال است که به صورت عمومی معامله می شود و از سال 2012 وجود داشته است. مسلماً یکی از اکثر صرافی های رایج رمزنگاری، با بیش از 89 میلیون کاربر، و به این ترتیب یک هدف جذاب برای مجرمان سایبری
تاکتیک های فرار هوشمندانه
محققان نوشتند که مهاجمان طیف وسیعی از تاکتیکها را برای اجتناب از شناسایی به کار میگیرند، از جمله یکی از محققان که آن را «دامنههای کوتاه مدت» نامیدهاند - که در آن دامنههای مورد استفاده در حمله «برای مدت زمان بسیار کوتاهی زنده میمانند» - که از شیوههای معمول فیشینگ منحرف میشود.
«برآوردهای ما اکثر صفحات را در اینترنت برای کمتر از دو ساعت در دسترس قرار میدهند» که در برخی موارد حتی به محققان PIXM اجازه نمیداد پس از اطلاع از حمله، تحقیقات قانونی مورد نظر را انجام دهند.
محققان خاطرنشان کردند که این، در میان تکنیکهای دیگر مانند آگاهی از زمینه و رله 2 عاملی، به مهاجمان اجازه میدهد «از کاوش در زیرساختهای فیشینگ خود جلوگیری کنند».
به گفته PIXM، به ویژه آگاهی از زمینه یک تاکتیک پنهان است زیرا مانند دامنه های کوتاه مدت، پیگیری این واقعیت را برای محققان امنیتی با مبهم کردن صفحات فیشینگ دشوار می کند.
این تاکتیک به دشمنان اجازه میدهد تا IP، محدوده CIDR یا موقعیت جغرافیایی را که از آنجا پیشبینی میکنند هدف یا اهداف خود به آن متصل شوند، بدانند. به گفته محققان، آنها سپس میتوانند چیزی شبیه فهرست کنترل دسترسی (ACL) در صفحه فیشینگ ایجاد کنند تا اتصالات را فقط از IP، محدوده یا منطقه هدف مورد نظرشان محدود کند.
محققان نوشتند: «حتی اگر یکی از این صفحات در عرض چند ساعت فعال بودن سایت شناسایی یا گزارش شود، یک محقق باید محدودیتهای اعمال شده در صفحه را جعل کند تا بتواند به سایت دسترسی پیدا کند.»
فیشینگ برای تصاحب حساب
این حملات با هدف قرار دادن کاربران کوینبیس توسط یک ایمیل مخرب آغاز میشود که صرافی ارز را جعل میکند تا قربانیان احتمالی فکر کنند که این یک پیام قانونی است.
به گفته محققان، این ایمیل از دلایل مختلفی برای ترغیب کاربر به ورود به حساب کاربری خود استفاده می کند و ادعا می کند که یا به دلیل فعالیت مشکوک قفل شده است یا یک تراکنش باید تأیید شود.
همانطور که در کمپینهای فیشینگ معمول است، اگر کاربران دستورالعمل پیام را دنبال کنند، به یک صفحه ورود جعلی میرسند و از آنها خواسته میشود اعتبار خود را وارد کنند. اگر این اتفاق بیفتد، مهاجم اعتبارنامه ها را در زمان واقعی دریافت می کند و از آنها برای ورود به وب سایت قانونی Coinbase استفاده می کند.
این زمانی است که عوامل تهدید از رله 2 عاملی در ساختار حمله استفاده می کنند برای دور زدن به گفته محققان، MFA در پلتفرم Coinbase تعبیه شده است.
اقدام مهاجم از Coinbase میخواهد تا یک کد 2FA را برای قربانی بفرستد، که فکر میکند این اعلان با وارد کردن اطلاعات کاربری در صفحه ورود جعلی انجام شده است. هنگامی که کاربر کد 2FA را در وب سایت جعلی وارد می کند، مهاجم بلافاصله آن را دریافت می کند و به حساب قانونی وارد می شود و بنابراین کنترل حساب را به دست می آورد.
هدایت بودجه به بازیگران تهدید کننده
هنگامی که عامل تهدید به حساب دسترسی پیدا کرد، برای جلوگیری از شناسایی یا مطرح کردن موارد مشکوک، اقدام به انتقال وجوه کاربر به شبکه حسابهای مذکور از طریق انبوهی از تراکنشها میکند.
"این وجوه همچنین اغلب از طریق خدمات غیرقانونی رمزنگاری آنلاین، مانند کازینوهای ارز دیجیتال، برنامه های شرط بندی و بازارهای آنلاین غیرقانونی اختلاس می شود.
در همین حال، در این مرحله، قربانی ناخواسته پیامی را مشاهده میکند که به آنها اطلاع میدهد حسابش قفل یا محدود شده است - برخلاف ایمیل اولیه فیشینگ که کل تراکنش مخرب را به همراه داشت. از آنها خواسته می شود تا با خدمات مشتری چت کنند تا مشکل را حل کنند و یک کادر چت در گوشه سمت راست صفحه ظاهر می شود تا آنها این کار را انجام دهند.
این اعلان در واقع مرحله دوم حمله است، که در آن بازیگر تهدید جعل هویت یکی از کارمندان Coinbase می شود که به فرد کمک می کند حساب خود را بازیابی کند و اطلاعات شخصی و حساب های مختلف را درخواست کند. به گفته محققان، با این حال، در واقع، مهاجمان در حال خرید زمان هستند تا بتوانند انتقال وجه را قبل از مشکوک شدن قربانی انجام دهند.
آنها نوشتند: "آنها از این جلسه چت استفاده می کنند تا هنگام انتقال وجوه خود، هدف را اشغال و حواس خود را پرت نگه دارند (از ایمیل های احتمالی یا متن هایی که ممکن است از Coinbase هنگام شروع نقل و انتقالات دریافت کنند).
هنگامی که انتقال وجوه کامل شد، مهاجم جلسه چت را به طور ناگهانی می بندد و صفحه فیشینگ را می بندد و کاربر کوین بیس را گیج می کند و به زودی متوجه می شود که این کار را انجام داده است. کلا کلاهبرداری شده، آنها گفتند.