Как фишеры Coinbase крадут одноразовые пароли

Недавняя фишинговая кампания, направленная на пользователей Coinbase, показывает, что воры становятся все умнее в подборе одноразовых паролей (OTP), необходимых для завершения процесса входа в систему. Это также показывает, что фишеры пытаются зарегистрировать миллионы новых аккаунтов Coinbase в рамках усилий по выявлению адресов электронной почты, которые уже связаны с активными аккаунтами.

Переведенная Google версия ныне не существующего фишингового сайта Coinbase, coinbase.com.password-reset[.]com

Coinbase – вторая по величине криптовалютная биржа в мире, насчитывающая около 68 миллионов пользователей из более чем 100 стран. Фишинговый домен coinbase.com.password-reset[.]com, о котором сейчас идет речь, был нацелен на итальянских пользователей Coinbase (язык сайта по умолчанию – итальянский). И, по словам Алекса Холдена, основателя базирующейся в Милуоки фирмы Hold Security, занимающейся кибербезопасностью, она была довольно успешной.

Команде Холдена удалось проникнуть в некоторые плохо скрытые каталоги файлов, связанные с этим фишинговым сайтом, включая его административную страницу. Эта панель, изображенная на отредактированном скриншоте ниже, показывает, что в результате фишинговых атак было получено не менее 870 наборов учетных данных, прежде чем сайт был выведен из сети.

Фишинговая панель Coinbase.

Холден сказал, что каждый раз, когда новая жертва вводила учетные данные на фишинговом сайте Coinbase, административная панель издавала громкое “дзинь” – предположительно, чтобы предупредить тех, кто сидел за клавиатурой на другом конце этой фишинговой аферы, что у них на крючке живой человек.

В каждом случае фишеры вручную нажимали кнопку, которая заставляла фишинговый сайт запрашивать у посетителей дополнительную информацию, например, одноразовый пароль от их мобильного приложения.

“У этих парней есть возможность в режиме реального времени запрашивать у жертвы любую информацию, необходимую им для входа в свой аккаунт Coinbase”, – сказал Холден.

При нажатии кнопки “Отправить информацию” посетителям предлагалось предоставить дополнительную личную информацию, включая имя, дату рождения и адрес улицы. Вооружившись номером мобильного телефона цели, они также могли нажать кнопку “Отправить проверочное SMS” с текстовым сообщением, предлагающим отправить одноразовый код.

ПРОСЕИВАНИЕ COINBASE НА ПРЕДМЕТ АКТИВНЫХ ПОЛЬЗОВАТЕЛЕЙ

Холден сказал, что фишинговая группа, похоже, выявила итальянских пользователей Coinbase, попытавшись зарегистрировать новые аккаунты на адреса электронной почты более чем 2,5 миллионов итальянцев. Его команде также удалось восстановить данные об именах пользователей и паролях, которые жертвы отправили на сайт, и практически все отправленные адреса электронной почты заканчивались на “.it”.

Но фишеры в данном случае, скорее всего, не были заинтересованы в регистрации каких-либо аккаунтов. Скорее, злоумышленники понимали, что любые попытки зарегистрироваться, используя адрес электронной почты, привязанный к существующему счету Coinbase, будут безуспешными. Проделав это несколько миллионов раз, фишеры затем брали адреса электронной почты, которые не смогли зарегистрировать новые счета, и отправляли на них фишинговые письма на тему Coinbase.

Данные Холдена показывают, что эта фишинговая банда ежедневно предпринимала сотни тысяч неудачных попыток регистрации аккаунтов. Например, 10 октября мошенники проверили более 216 000 адресов электронной почты в системах Coinbase. На следующий день они попытались зарегистрировать 174 000 новых счетов Coinbase

В заявлении по электронной почте, предоставленном KrebsOnSecurity, Coinbase сообщила, что принимает “обширные меры безопасности, чтобы наша платформа и счета клиентов оставались максимально безопасными”. Вот остальная часть заявления:

“Как и все крупные онлайн-платформы, Coinbase регулярно сталкивается с попытками автоматизированных атак. Coinbase способна автоматически нейтрализовать подавляющее большинство таких атак, используя сочетание собственных моделей машинного обучения и партнерства с ведущими в отрасли поставщиками средств обнаружения ботов и предотвращения злоупотреблений. Мы постоянно настраиваем эти модели, чтобы блокировать новые методы по мере их обнаружения. Группы разведки угроз и доверия и безопасности Coinbase также работают над отслеживанием новых автоматизированных методов злоупотреблений, разрабатывают и применяют средства защиты и агрессивно добиваются уничтожения вредоносной инфраструктуры. Мы понимаем, что злоумышленники (и методы атак) будут продолжать развиваться, поэтому мы используем многоуровневый подход к борьбе с автоматизированными злоупотреблениями”.

В прошлом месяце Coinbase сообщила, что злоумышленники похитили криптовалюту у 6 000 клиентов, воспользовавшись уязвимостью, чтобы обойти функцию защиты SMS с многофакторной аутентификацией.

“По словам представителей Coinbase, для проведения атаки злоумышленникам было необходимо знать адрес электронной почты клиента, пароль и номер телефона, связанный с его счетом в Coinbase, а также иметь доступ к электронной почте жертвы”, – написал Лоуренс Абрамс из Bleeping Computer. “Хотя неизвестно, как субъекты угроз получили доступ к этой информации, в Coinbase полагают, что это произошло в результате фишинговых кампаний, направленных на клиентов Coinbase с целью кражи учетных данных, что стало обычным делом”.

Эта фишинговая схема – еще один пример того, как мошенники придумывают все более изобретательные методы обхода популярных вариантов многофакторной аутентификации, таких как одноразовые пароли. В прошлом месяце KrebsOnSecurity рассказал об исследовании нескольких новых сервисов, основанных на ботах в Telegram, которые позволяют мошенникам относительно легко выбивать OTP у целей с помощью автоматических телефонных звонков и текстовых сообщений. Все эти фишинговые сервисы OTP предполагают, что клиент уже получил учетные данные цели каким-то способом – например, через фишинговый сайт, подобный тому, который рассматривается в этой статье.

Опытные читатели, без сомнения, уже знают об этом, но чтобы найти настоящий домен, на который ссылается ссылка, посмотрите вправо от “http(s)://” до первой косой черты (/). Домен, расположенный непосредственно слева от первой косой черты, является истинным местом назначения; все, что предшествует второй точке слева от первой косой черты, является субдоменом и должно игнорироваться для целей определения истинного доменного имени.

В рассматриваемом здесь фишинговом домене – coinbase.com.password-reset[.]com – password-reset[.]com является доменом назначения, а “coinbase.com” – это просто произвольный поддомен password-reset[.]com. Однако при просмотре на мобильном устройстве многие посетители такого домена могут увидеть в адресной строке своего мобильного браузера только часть URL, относящуюся к поддомену.

Лучший совет по предотвращению фишинговых афер – не нажимать на ссылки, которые незапланированно приходят по электронной почте, в текстовых сообщениях или других средствах массовой информации. Большинство фишинговых афер содержат временной элемент, предупреждающий о тяжелых последствиях, если вы не отреагируете или не предпримете быстрых действий. Если вы не уверены, что сообщение является законным, сделайте глубокий вдох и посетите сайт или услугу вручную – в идеале, используя закладку браузера, чтобы избежать возможных опечаток.

Кроме того, никогда не сообщайте никакой информации в ответ на нежелательный телефонный звонок. Неважно, кто утверждает, что звонит: Если вы не инициировали контакт, повесьте трубку. Не ставьте их на удержание, пока вы звоните в свой банк: мошенники могут обойти и это. Просто повесьте трубку. Затем вы можете позвонить в свой банк или куда-либо еще.

Кстати, когда вы в последний раз проверяли свои многофакторные настройки и опции на различных веб-сайтах, которым доверена ваша самая ценная личная и финансовая информация? Возможно, стоит заглянуть на сайт 2fa.directory (бывший twofactorauth[.]org), чтобы проверить.

Оставьте комментарий