Indivíduos que representam uma ameaça estão se movendo em direção à autenticação de dois fatores (2FA) e empregando estratégias de evasão astutas em uma campanha de phishing recentemente identificada, com o intuito de assumir o controle de contas da Coinbase e enganar os usuários para roubar seus saldos de criptomoedas.
Os hackers estão enviando e-mails falsos que simulam a plataforma de troca de criptomoedas mais conhecida, com o objetivo de ludibriar os usuários a fornecerem suas informações de login, permitindo o acesso indevido às contas e o roubo dos fundos das vítimas, conforme revelado por pesquisadores da PIXM Software.
De acordo com o PIXM Threat Research Team, os criminosos costumam transferir esses fundos por meio de várias contas “burner” em uma série de transações automatizadas, com o objetivo de ocultar a origem dos fundos. A Coinbase é uma plataforma de câmbio de criptomoedas estabelecida desde 2012 e é considerada uma das mais antigas do setor, contando com mais de 89 milhões de usuários, o que a torna um alvo atrativo para criminosos online.
Estratégias de Fuga Astutas
Os agressores utilizam diversas estratégias para não serem descobertos, como o uso de “domínios pouco utilizados”, que são mantidos ativos por curtos períodos de tempo, fugindo das práticas habituais de phishing, conforme relatado pelos pesquisadores.
De acordo com nossas projeções, a maioria das páginas fica disponível na internet por um período inferior a duas horas, o que, em certos casos, inviabilizou a realização das investigações forenses desejadas pelos pesquisadores da PIXM após serem alertados sobre um ataque.
Entre outras estratégias, como a conscientização do contexto e a autenticação de dois fatores, os atacantes conseguem “manter vigilância atenta em sua infraestrutura de phishing”, conforme destacado pelos pesquisadores.
A compreensão do contexto específico é uma estratégia sorrateira, pois, ao serem domínios de curta duração, dificultam o trabalho dos pesquisadores de segurança em rastreá-los após o ocorrido, já que ofuscam as páginas de phishing, conforme o PIXM.
Essa estratégia possibilita aos oponentes identificar o IP, o CIDR Range ou a Geo-Localização do qual podem prever o seu alvo ou alvos para se conectar. Com isso, podem desenvolver uma Lista de Controle de Acesso (ACL) na página de phishing para limitar as conexões a serem permitidas somente a partir do IP, intervalo ou região do alvo desejado, conforme apontaram os pesquisadores.
Os pesquisadores afirmaram que, caso uma dessas páginas fosse identificada ou denunciada dentro do curto período em que o site está ativo, seria necessário que o pesquisador removesse as restrições da página para conseguir acessar o site.
Fraude para obter informações de contas.
Os ataques iniciam com indivíduos que têm como alvo os clientes da Coinbase, enviando um e-mail malicioso que simula uma transação de moeda, fazendo com que as possíveis vítimas acreditem se tratar de uma mensagem genuína.
O e-mail apresenta diversas justificativas para encorajar o usuário a acessar sua conta, alegando que ela foi bloqueada por atividades suspeitas ou que é necessária a confirmação de uma transação, de acordo com os pesquisadores.
Como é comum em golpes de phishing, quando os usuários seguem as instruções da mensagem, são redirecionados para uma página falsa de login e pedem para digitar suas informações de acesso. Se isso ocorrer, o agressor recebe as credenciais imediatamente e as utiliza para acessar o site real da Coinbase.
Isso ocorre quando os atores de ameaça utilizam um método de autenticação em duas etapas na estratégia de ataque para contornar a autenticação em duas etapas implementada na plataforma Coinbase, conforme relatado pelos pesquisadores.
O atacante induz a Coinbase a enviar um código 2FA para a vítima, que acredita ter solicitado a notificação ao inserir suas credenciais em uma página de login falsa. Quando o usuário insere o código 2FA no site fraudulento, o atacante o recebe instantaneamente e acessa a conta legítima, obtendo controle sobre ela.
Diferentes Investimentos para Atrair Artistas
Quando o invasor tem acesso à conta, ele transfere os fundos do usuário para diversas contas diferentes, tentando evitar ser descoberto ou levantar suspeitas.
Os pesquisadores também observaram que esses fundos são frequentemente movimentados por meio de serviços de criptografia on-line ilegais não regulamentados, como cassinos de criptomoedas, aplicativos de apostas e mercados ilegais na internet.
Neste momento, a pessoa enganada receberá uma mensagem indicando que sua conta foi bloqueada ou restrita, o que contrasta com o e-mail fraudulento que iniciou a transação maliciosa. Eles são instruídos a entrar em contato com o serviço de atendimento ao cliente para solucionar o problema, e uma janela de chat é disponibilizada no canto direito da página para facilitar essa comunicação.
Neste cenário, o prompt é a etapa subsequente do ataque, onde o indivíduo mal-intencionado se faz passar por um funcionário da Coinbase para auxiliar a vítima na recuperação da conta, solicitando dados pessoais e de conta. No entanto, a verdade é que os invasores estão ganhando tempo para realizar a transferência de fundos antes que a vítima desconfie, conforme explicado pelos pesquisadores.
“Eles estão empregando essa conversa online para manter a pessoa focada e distraída (de possíveis e-mails ou mensagens que poderiam estar recebendo da Coinbase durante as transferências de fundos) enquanto movem o dinheiro.”
Após a transferência de fundos ser efetuada, o fraudador encerrará subitamente a conversa e fechará a página de phishing, levando o usuário da Coinbase a perceber que foi enganado de forma total.
Divulgue este artigo.
- O ato de cortar.
- Proteção na Internet
