Os cibercriminosos estão adotando táticas astutas para burlar a autenticação de dois fatores e apropriarem-se das contas Coinbase. Uma campanha de phishing recentemente detectada mostra que os atores maliciosos estão se esforçando para assumir as contas, com o objetivo de despojar os usuários de seus saldos criptográficos.
Os cibercriminosos estão empregando e-mails falsificados da notável bolsa de criptomoeda para enganar os usuários a logar em suas contas, com a intenção de conseguir acesso e assim roubar as economias das vítimas, descobriram pesquisadores do PIXM Software.
Os fundos serão normalmente repartidos por meio de uma rede de contas “burner” de forma automática por meio de centenas ou milhares de transações, a fim de mascarar a carteira de origem e destino, de acordo com a equipe de pesquisa de ameaças da PIXM, em um post publicado na quinta-feira. Coinbase é uma plataforma de negociação de criptomoeda que vem operando desde 2012. É sem dúvida uma das principais bolsas de criptografia, com mais de 89 milhões de usuários, tornando-se um alvo atraente para criminosos cibernéticos.
Técnicas de Eludir Inteligentemente
Os invasores aplicam uma variedade de estratégias para eludir a identificação, inclusive o que um examinador descreve como “domínios de vida curta” – onde os domínios usados na ofensiva são ativos por períodos curtos – que desvia-se da norma em casos de phishing, de acordo com o que os pesquisadores mencionaram.
Nossas projeções mostram que a maioria das páginas da web ficará online por menos de duas horas, o que, em alguns casos, não deu aos pesquisadores da PIXM tempo suficiente para realizarem os exames forenses necessários depois de serem informados sobre um ataque.
Isso, juntamente com outros métodos, tais como, tornar o contexto visível e o uso do relé de 2 fatores, torna possível que os cibercriminosos “consigam colocar os olhos sobre a estrutura de phishing”, afirmam os especialistas.
A conscientização de contexto específico é uma técnica astuciosa, pois, já que dominamos de curta duração, torna-se difícil para aqueles que trabalham na área de segurança acompanhar após a realização, pois obscurece as páginas de phishing, segundo o PIXM.
Esta estratégia possibilita aos seus oponentes descobrir o IP, CIDR Range ou Geo-Localização, o que lhes permite prever o seu destino ou alvos para se conectar. Com isso, podem desenvolver uma Lista de Controle de Acesso (ACL) na página de phishing para limitar as conexões a serem permitidas somente do IP, intervalo ou área do alvo desejado, afirmaram os pesquisadores.
Mesmo que alguma das páginas seja detectada ou relatar dentro do período curto em que o site está operando, um pesquisador teria que lidar com as limitações impostas na página para conseguir acessá-lo, disseram os pesquisadores.
Utilizar técnicas de engenharia social para obter contas de usuários.
Os golpes iniciam-se com indivíduos que procuram usuários da Coinbase com um e-mail malicioso apresentando um intercâmbio de moeda, de modo que as potenciais vítimas acreditem que se trata de uma mensagem autêntica.
O e-mail oferece uma série de incentivos para que o usuário acesse a sua conta, alegando que ela foi bloqueada devido a atividades suspeitas ou que alguma transação necessita ser validada, segundo informações dos pesquisadores.
Como é característico em campanhas de phishing, se os usuários seguirem a direção da mensagem, eles acabam em uma página de login falsa e são instados a inserir suas credenciais. Se isso acontecer, o invasor obtém as credenciais instantaneamente, e as emprega para entrar no site real da Coinbase.
Os pesquisadores declararam que os agentes maliciosos têm utilizado uma técnica de autenticação de dois fatores para penetrar na infraestrutura de segurança criada pela plataforma Coinbase.
A ação do atacante induz a Coinbase a emitir um código de autenticação de dois fatores para a vítima, que acredita que foi solicitado ao fornecer credenciais na falsa página de login. Logo que o usuário insere o código de autenticação de dois fatores no site falso, o atacante recebe imediatamente e acessa a conta verdadeira, assumindo assim o controle da conta.
Uma grande variedade de fundos para atrair atores.
Uma vez que o ator de ameaça obtém acesso à conta, prossegue para transferir recursos do proprietário da conta para uma série de contas, através de um número indeterminado de transações, para evitar serem descobertos ou levantar suspeitas.
Estes recursos também são frequentemente desviados por meio de serviços de criptografia online ilegais e não regulamentados, tais como casinos criptomoedas, jogos de azar e mercados online ilegais, alertaram os pesquisadores.
Enquanto isso, nesse ponto, a vítima não intencional receberá uma mensagem informando que sua conta foi bloqueada ou restringida – que é diferente do e-mail de phishing inicial que desencadeou toda a transação maliciosa. Eles são instruídos a conversar com o serviço ao cliente para resolver o problema, e uma janela de bate-papo aparece no canto direito da página para que eles possam fazer isso.
Esta prática de ameaça é, na realidade, a segunda etapa do ataque, onde o indivíduo responsável pela ameaça se passa por um funcionário da Coinbase para ajudar a pessoa a recuperar sua conta, pedindo vários dados pessoais e informações da conta. O objetivo real dos autores do ataque é ganhar tempo para eles conseguirem concluir a transferência de fundos antes que a vítima comece a desconfiar, segundo os pesquisadores.
Eles estão usando esta sessão de bate-papo para manter o alvo absorvido e desatento (aos e-mails que eles podem estar recebendo da Coinbase quando as transferências começam) a fim de transferir seu dinheiro, compartilharam.
Após o término da transação de dinheiro, o golpista terminará a conversa com rapidez e sairá da página de fraude, deixando o usuário da Coinbase perplexo e logo descobrindo que foi enganado, segundo os relatórios.
Compartilhe esta publicação.
- Atentamente, desejaria que você me concedesse um favor.
- Proteção de dados na rede é uma preocupação significativa para os usuários de Internet. É primordial que todos tomem medidas para assegurar que seus detalhes pessoais e informações sejam preservados de forma segura.
