在最近观察到的旨在接管Coinbase帐户的网络钓鱼活动中,威胁行为者正在绕过双因素身份验证(2FA)并使用其他巧妙的规避策略,以骗取用户的加密货币余额。
PIXM Software的研究人员发现,攻击者正在使用当下流行的加密货币交易所的电子邮件来诱骗用户登录他们的账户,以便他们获取受害者的登录凭据,从而访问账户并窃取受害者的资金。
PIXM威胁研究团队在周四发布的一篇博文中解释说:“他们通常会通过成百上千笔交易,通过‘Burner’账户网络自动分配这些资金,以混淆原始钱包和目标钱包。”
Coinbase是一个公开交易的加密货币交易平台,自2012年以来一直存在。它可以说是最主流的加密货币交易所之一,拥有超过8900万用户,因此对网络犯罪分子来说是一个非常有吸引力的目标。
巧妙的逃避战术
研究人员写道,攻击者采用了一系列策略来避免被发现,包括一个被研究人员称为“临时域”(short lived domains)的策略,即攻击中使用的域“在极短的时间内保持活跃”,这与典型的网络钓鱼行为有所不同。
“我们猜测,大部分页面在互联网上的可用时间不到两个小时,”因此在某些情况下,即便PIXM研究人员收到攻击警报,他们也无法执行所需的取证行为。
研究人员指出,在环境感知和双因素中继等其他技术中,这会允许攻击者“阻止窥探者深入他们的网络钓鱼基础设施”。
根据PIXM的说法,环境感知是一种尤其隐秘的策略,因为与临时域一样,安全研究人员很难通过混淆网络钓鱼页面进行事后跟进。
这种策略允许攻击者知道IP、CIDR范围或区域,从而可以预测他们的一个或多个目标将要连接的地方。研究人员说,然后他们可以在网络钓鱼页面上创建类似访问控制列表(ACL)的内容,以限制仅允许来自其预期目标的IP、范围或区域的连接。
研究人员写道:“即使在网站上线的几个小时内检测到或报告了其中一个页面,研究人员也需要谎报页面上的限制才能访问该网站。”
用于帐户接管的网络钓鱼
攻击开始时,参与者以Coinbase用户为目标,通过恶意电子邮件谎称要进行货币兑换,使潜在受害者认为这是合法消息。
研究人员表示,这封电子邮件使用多种理由敦促用户登录他们的账户,声称该账户因可疑活动而被锁定,或者存在交易需要确认。
与网络钓鱼活动一样,如果用户遵循消息指令,他们会到达一个虚假的登录页面并被提示输入他们的凭据。如果发生这种情况,攻击者会实时接收凭据,并使用它们登录合法的Coinbase网站。
研究人员说,这发生在威胁参与者在攻击结构中使用双因素中继来绕过Coinbase平台中内置的MFA的时候。
攻击者的行为促使Coinbase向受害者发送2FA代码,受害者认为该通知是通过在虚假登录页面中输入凭据来提示的。一旦用户将2FA代码输入到虚假网站,攻击者立即接收并登录合法账户,从而获得账户控制权。
将资金转移给威胁行为者
一旦威胁者可以访问该帐户,他或她就会通过大量交易将用户的资金转移到上述帐户网络,以逃避检测或避免引起怀疑。
“这些资金也经常通过不受监管的非法在线加密服务被挪用,如加密货币赌场、投注应用程序和非法在线市场,”研究人员补充说。
此时不知情的受害者会看到一条消息,通知他们,他们的帐户已被锁定或限制——这与引发整个恶意交易的初始网络钓鱼电子邮件不同。系统会提示他们与客服聊天以解决问题,并且页面右上角会出现一个聊天框供他们执行此操作。
该提示实际上是攻击的第二阶段,其中威胁行为者冒充Coinbase员工帮助该用户恢复他或她的帐户,要求提供各种个人和帐户信息。然而,研究人员说,实际上,攻击者正在争取时间,以便他们能够在受害者怀疑之前完成资金转移。
“他们正在使用这个聊天会话来让受害人在转移资金时被占用和分心(受害者在被转移资金时可能会收到Coinbase的潜在电子邮件或短信),”他们写道。
他们说,一旦资金转移完成,攻击者将突然关闭聊天会话并关闭网络钓鱼页面,这让Coinbase用户感到困惑并很快意识到自己被欺骗了。