Uusi phishing-kampanja kryptoyhteisölle
Uusi monimutkainen phishing-kampanja kohdistuu kryptoyhteisön X-tileihin käyttäen taktiikoita, jotka ohittavat kaksivaiheisen todennuksen ja näyttävät uskottavammilta kuin perinteiset huijaukset. Kryptokehittäjä Zak Cole julkaisi keskiviikkona X:ssä, että uusi phishing-kampanja hyödyntää X:n omaa infrastruktuuria kryptoyhteisön tilien kaappaamiseen.
”Nolla havaintoa. Aktiivinen juuri nyt. Täysi tilin kaappaus,”
hän sanoi. Cole korosti, että hyökkäys ei sisällä vale kirjautumissivua tai salasanan varastamista. Sen sijaan se hyödyntää X-sovelluksen tukea päästäkseen tilille ja ohittaakseen kaksivaiheisen todennuksen. MetaMaskin tietoturvatutkija Ohm Shah vahvisti nähneensä hyökkäyksen ”kentällä”, mikä viittaa laajempaan kampanjaan. Myös OnlyFans-mallia kohdistettiin vähemmän monimutkaisella version hyökkäyksestä.
Uskottavan phishing-viestin laatiminen
Phishing-kampanjan huomattava piirre on sen uskottavuus ja huomaamattomuus. Hyökkäys alkaa X-suoraviestistä, joka sisältää linkin, joka näyttää ohjaavan viralliselle Google Kalenteri -verkkotunnukselle, kiitos sen, miten sosiaalisen median alusta luo esikatseluja. Colen tapauksessa viesti teeskenteli tulevansa pääomasijoitusyhtiö Andreessen Horowitzin edustajalta.
Linkin vaarat
Viestin linkittämä verkkotunnus on x(.)ca-lendar(.)com ja se rekisteröitiin lauantaina. Silti X näyttää esikatselussa laillisen calendar.google.com:in verkkosivuston metadatan hyödyntäen, miten X luo esikatseluja sen metadatan perusteella.
”Aivosi näkevät Google Kalenterin. URL-osoite on erilainen.”
Kun linkkiä klikataan, sivun JavaScript ohjaa X:n todennuspisteeseen, joka pyytää valtuutusta sovellukselle päästäkseen sosiaalisen median tiliisi. Sovellus näyttää olevan ”Kalenteri”, mutta tekninen tarkastelu paljastaa, että sovelluksen nimessä on kaksi kyrillistä merkkiä, jotka näyttävät ”a”:lta ja ”e”:ltä, mikä tekee siitä erottuvan sovelluksen verrattuna X:n järjestelmän todelliseen ”Kalenteri”-sovellukseen.
Hyökkäyksen paljastava vihje
Tällä hetkellä ilmeisin merkki siitä, että linkki ei ollut laillinen, saattoi olla URL-osoite, joka ilmestyi lyhyesti ennen kuin käyttäjä ohjattiin. Tämä todennäköisesti näkyi vain murto-osan sekunnista ja on helppo ohittaa. Silti X:n todennus sivulla tarjoaa ensimmäisen vihjeen siitä, että kyseessä on phishing-hyökkäys. Sovellus pyytää pitkää luetteloa kattavista tilinhallintaoikeuksista, mukaan lukien tilien seuraaminen ja lopettaminen, profiilien ja tiliasetusten päivittäminen, viestien luominen ja poistaminen, muiden viesteihin osallistuminen ja paljon muuta. Nämä oikeudet vaikuttavat tarpeettomilta kalenterisovellukselle ja voivat olla vihje, joka pelastaa huolellisen käyttäjän hyökkäykseltä. Jos lupa myönnetään, hyökkääjät saavat pääsyn tilille, kun käyttäjille annetaan toinen vihje ohjaamalla calendly.com:iin huolimatta Google Kalenterin esikatselusta.
”Calendly? He valehtelivat Google Kalenterista, mutta ohjaavat Calendlyyn? Suuri operatiivinen turvallisuusvika. Tämä epäjohdonmukaisuus voisi herättää uhreissa epäilyksiä,”
Cole korosti.
Colen GitHub-raportin mukaan hyökkäyksestä, tarkistaaksesi, onko profiilisi vaarantunut ja saadaksesi hyökkääjät ulos tililtä, suositellaan, että vierailet X:n liitetyt sovellukset -sivulla. Sitten hän ehdottaa, että peruutat kaikki sovellukset nimeltä ”Kalenteri.”
