مقدمه

ساخت وبلاگ

مبادلات رمزنگاری از زمان آغاز به کار آنها هدف مخالفان پیشرفته بوده است. در PIXM ، ما از سال 2021 این حملات را ردیابی می کنیم و در ابتدا در زمان تجزیه و تحلیل روزانه تشخیص هایی که برای مشتریان انجام می دهیم ، به آنها رسیدیم. در اواخر سال 2021 ، و ادامه به سال 2022 ، حملات ما در PIXM که پایگاه های کاربر Exchange را از طریق فیشینگ هدف قرار داده اند ، کشف کرده ایم و از تکنیک های فزاینده ای پیچیده برای سازش حساب کاربران تبادل رمزنگاری شده و کیف پول های آنها استفاده می کنند.

Coinbase یک بستر مبادله رمزنگاری شده با تجارت عمومی است ، و مسلماً اصلی ترین مبادله رمزنگاری در سطح جهان است که از زمان آغاز به کار در سال 2012 بیش از 89 میلیون کاربر را به بستر خود جذب می کند. و مجرمان سایبری ، به دلیل این واقعیت که پایه کاربر آن بسیار بزرگ و جریان اصلی است ، فرض بر این است که مخاطبان سرمایه گذاران گاه به گاه ، به طور کلی غیر فنی و رمزنگاری را پوشش دهد.

حمله

در این حمله مشاهده می کنیم که چگونه هکرها قادر به هدف قرار دادن دارندگان کیف پول شناخته شده Coinbase هستند و علی رغم احراز هویت 2 عاملی ، سعی در دسترسی به حساب های آنها دارند.

  • بردار: ایمیل
  • نوع: جعل هویت برند
  • هدف: کاربران Coinbase

فاز 1: ایمیل فیشینگ هدفمند

حملاتی که ما مشاهده کرده ایم با تحویل یک ایمیل کلاهبرداری ، شبیه Coinbase شروع می شود. ایمیل باعث می شود کاربر به دلایل مختلفی وارد سیستم شود ، هر کدام دارای حس فوریت هستند. این یا تأیید یک معامله است ، یا اینکه حساب کاربر به دلیل فعالیت مشکوک "قفل" شده است. استفاده از این سناریوها توسط مهاجم برای منحرف کردن کاربر از تجزیه و تحلیل مشخصات ایمیل (اگر فرستنده قانونی باشد ، اگر پیوند ورود به سیستم قانونی باشد و غیره) طراحی شده است.

نمونه ای از ایمیل فیشینگ Coinbase (اعتبار تصویر: وبلاگ Coinbase)

فاز 2: احراز هویت صفحه فیشینگ و رله 2 عاملی

پس از ورود کاربر به صفحه ورود به سیستم جعلی ، از آنها خواسته می شود تا اعتبار خود را وارد کنند. اگر وارد اعتبار ورود به سیستم خود شوند ، در زمان واقعی به مهاجم فرستاده می شوند. از طرف دیگر ، مهاجم اعتبار ورود به سیستم را به وب سایت Legitimate Coinbase وارد می کند که یک اعلان تأیید اعتبار 2 عاملی را با یک کد به صندوق ورودی کاربر ارسال می کند. با تصور اینکه این اعلان توسط آنها آغاز شده است ، کاربر کد ارائه شده را در وب سایت جعلی وارد می کند. این کد به مهاجم ارسال می شود که در وب سایت قانونی وارد شده است.

فاز 3: انتقال ارز دیجیتال و منحرف کردن هدف

اکنون، مهاجم به حساب کاربری ناشناس وارد شده است و می تواند به وجوهی که با پلتفرم ذخیره کرده است دسترسی داشته باشد. آن ها معمولاً این وجوه را از طریق شبکه ای از حساب های «سوزکننده» به صورت خودکار از طریق صدها یا هزاران تراکنش توزیع می کنند تا کیف پول اصلی را از کیف پول مقصد خود پنهان کنند. این وجوه همچنین اغلب از طریق خدمات غیرقانونی رمزنگاری آنلاین، مانند کازینوهای ارز دیجیتال، برنامه های شرط بندی و بازارهای آنلاین غیرقانونی اختلاس می شوند. اکنون، در صفحه فیشینگ، پیامی به هدف نشان داده می شود که حساب کاربری آنها قفل یا محدود شده است، مشابه ایمیل اولیه فیشینگ که آنها را به صفحه مهاجمان هدایت می کرد. Prompt ادعا می کند که برای حل مشکل باید با خدمات مشتری چت کنند. سپس یک چت باکس در گوشه سمت راست پایین صفحه فیشینگ ظاهر می شود و مهاجم در انتهای دیگر منتظر است. مهاجم وانمود می کند که یک کارمند کوین بیس است که به شما کمک می کند حسابتان را بازیابی کنید، و اطلاعات بیشتری درباره حساب، اطلاعات شخصی و تخمینی از مقدار وجوه موجود در حساب کوین بیس شما درخواست می کند. آنها از این جلسه چت استفاده می کنند تا هنگام انتقال وجوه خود، هدف را اشغال و منحرف نگه دارند (از ایمیل های احتمالی یا متن هایی که ممکن است از Coinbase هنگام شروع نقل و انتقالات دریافت کنند). اگر هدف مشکوک شود، یا شروع به سوال کند که چرا اعلان های انتقال وجه دریافت می کند، مهاجم می تواند از جلسه چت استفاده کند تا به او اطمینان دهد که چیزی برای نگرانی ندارد و فعالانه روی بازیابی حساب خود کار می کند. هنگامی که انتقال وجه کامل شد، مهاجم جلسه چت را به طور ناگهانی می بندد و صفحه فیشینگ خود را می بندد.

تکنیک

تفاوت آشکاری در مورد این حملات، در مقایسه با سایر حملات فیشینگ که توسط PIXM ردیابی می شوند، این است که دامنه ها برای مدت زمان بسیار کوتاهی زنده می مانند. تخمین های ما نشان می دهد که اکثر صفحات کمتر از ۲ ساعت در اینترنت در دسترس هستند.

در موارد متعددی که در زیر به آنها اشاره خواهیم کرد، به ما هشدار داده شده است که حمله ای انجام شود، تلاش شده است تا تحقیقات قانونی را روی دامنه انجام دهیم، اما متوجه شدیم که برای ما قابل دسترسی نیست. تکنیک های مختلفی وجود دارد که دشمن در این مورد استفاده می کند تا چشمان کنجکاو را از زیرساخت های فیشینگ خود باز دارد. در این موارد که در زیر به آنها اشاره خواهیم کرد، سه تکنیک اصلی در حال استفاده را مشاهده می کنیم:

  1. دامنه های کوتاه مدت
  2. آگاهی از متن
  3. رله 2 عاملی

دامنه های کوتاه مدت

به نظر نمی رسد که دامنه های به کار رفته در حملات مورد نظر ما بیش از چند ساعت در حال استفاده نیستند. دامنه ها به طور معمول با ابزارهای استقرار وب سایت LocalHost مانند CPRAPID و SERVER QUAKE ، که در یک تلاش فیشینگ هدفمند استفاده می شود ، می چرخند و سپس از بین می روند.

این نشان می دهد که دامنه ها در حملات نسبتاً هدفمند استفاده می شوند. بر اساس چرخه عمر استقرار دامنه ، این احتمال وجود دارد که صفحات فیشینگ Coinbase به یک URL زنده مستقر شوند ، ایمیل های فیشینگ که دارندگان حساب های خاص Coinbase را هدف قرار می دهند ، ارسال می شوند ، بازیگر تهدید منتظر اعتبار و نشانه های تأیید اعتبار 2-Factor است ، وسپس سایت از بین می رود.

شکل: نمونه ای از یک صفحه فیشینگ سکه هدفمند که توسط PIXM شناسایی شده است.

ماهیت کوتاه این صفحات فیشینگ باعث می شود که بایگانی صفحات محتوای نادر باشد ، زیرا این سایت ها مدت ها قبل از فهرست شدن توسط موتورهای جستجو ، از بین می روند. این امر با انجام پزشکی قانونی در صفحات فرود نیز چالش هایی را ایجاد می کند ، زیرا آنها به طور معمول قبل از گزارش به فروشندگان به عنوان مخرب حذف می شوند.

آگاهی از متن

استراتژی دیگری که توسط بازیگران تهدیدی که کاربران Coinbase را هدف قرار می دهند ، مرورگر یا آگاهی از زمینه IP است. در این حالت ، این بدان معنی است که دشمن IP ، دامنه CIDR یا مکان جغرافیایی را که پیش بینی می کند هدف (های) خود را از آن وصل کند ، می داند و چیزی مانند لیست کنترل دسترسی (ACL) را در صفحه فیشینگ ایجاد کرده استمحدود کردن اتصالات فقط از IP ، دامنه یا منطقه هدف مورد نظر آنها مجاز است.

این یکی دیگر از تکنیک ها برای خنثی کردن پزشکی قانونی صفحات فیشینگ است. حتی اگر یکی از این صفحات در پنجره چند ساعته که سایت زنده است ، شناسایی یا گزارش شده است ، یک محقق برای دسترسی به سایت باید محدودیت های قرار داده شده در صفحه را جعل کند.

رله 2 عاملی

صفحات فیشینگ به طور معمول پس از وارد کردن نام کاربری/رمز عبور اصلی ، کاربر را به صفحه دوم هدایت می کنند. این به طور معمول یکی از دو مورد را درخواست می کند: از کد 2 عاملی که کاربر از آن خواسته می شود وارد ورود به سیستم یا اطلاعات اضافی در مورد حساب کاربر شود.

شکل: صفحه ورود به سیستم فیشینگ Coinbase اولیه (به نظر می رسد یکسان با صفحه ورود به سیستم Coinbase واقعی)

شکل: صفحه تأیید 2 مرحله ای فیشینگ Coinbase (به نظر می رسد متفاوت از صفحه تأیید 2 مرحله ای Coinbase)

در صورتی که این سایت دارای رله 2 عاملی داخلی باشد ، طرف مقابل اعتبارنامه وارد شده توسط کاربر را در فیشینگ خود می گیرد ، (به طور معمول به طور خودکار) در انتهای آنها ، این اعتبارنامه ها را در یک پورتال ورود به سیستم Coinbase واقعی وارد می کند ، که سپس ارسال می کند. یک درخواست تأیید هویت 2 عاملی به دستگاه کاربران ، یا وادار کردن آنها برای وارد کردن کدی ارسال شده به دستگاه فاکتور دوم خود. هنگامی که کاربر وارد کد می شود ، طرف مقابل آن را دریافت می کند و در پایان آنها وارد جلسه واقعی Coinbase می شود. کاربر در واقع به Coinbase در دستگاه خود تأیید نشده است ، اما اکنون نام کاربری ، رمز عبور و کد تأیید اعتبار 2 عاملی را به مهاجمان ارسال کرده است. این دشمن اکنون به حساب کاربری هدفمند وارد می شود و شروع به ارسال منابع رمزنگاری خود به کیف پول های خود می کند.

شکل: [صفحات فیشینگ پیامی را نشان می دهند که کاربر از حساب خارج شده است و باید با پشتیبانی مشتری حل شود]

برای اندازه گیری خوب ، پس از برداشت موفقیت آمیز اطلاعات ورود به سیستم هدف خود و پین 2 عاملی ، مهاجم اکنون اطلاعات بیشتری را از آنها به صورت دستی جمع می کند. صفحات فیشینگ پیامی را نشان می دهد که شما از این حساب قفل شده اید و باید با پشتیبانی مشتری آن را حل کنید. پس از نمایش ، یک کادر چت در گوشه پایین سمت راست ظاهر می شود ، جایی که مهاجم هدف را در یک مکالمه درگیر می کند تا اطلاعات شخصی اضافی مربوط به حساب شما را بازیابی کند ، از جمله شماره تلفن ، آدرس ، ایمیل ، مانده حساب تخمین زده شده و غیرهاین در صورت داشتن مشکل ، به آنها کمک می کند ، یا به اعتبار بیشتری نیاز دارند ، در حالی که آنها به حساب اهداف در سیستم خود دسترسی دارند. این امر همچنین این مهاجم را قادر می سازد تا با قربانی در حال گفتگو با قربانی باشد تا در هنگام تخلیه وجوه خود ، آنها را درگیر و پریشان کند.

ویدیو های آموزشی فارکس...
ما را در سایت ویدیو های آموزشی فارکس دنبال می کنید

برچسب : نویسنده : محبوب امانی بازدید : 67 تاريخ : پنجشنبه 24 فروردين 1402 ساعت: 13:01