-
09/04/2020
-
93
-
604 bài viết
Chiêu trò phishing ăn cắp mật khẩu OTP trên Coinbase
Một chiến dịch phishing đang nhắm mục tiêu đến người dùng Coinbase, cho thấy kẻ lừa đảo ngày càng tinh vi hơn khi cố đánh cắp (OTP), đồng thời có thể xác định địa chỉ email đã được liên kết với các tài khoản đang hoạt động.
Coinbase là sàn giao dịch tiền điện tử lớn thứ hai thế giới, với khoảng 68 triệu người dùng từ hơn 100 quốc gia. Miền lừa đảo hiện không còn tồn tại bị chúng sử dụng là coinbase.com.password-reset [.] Com - nhắm mục tiêu đến người dùng ở Ý.
Holden Security đã nghiên cứu bên trong một số thư mục ẩn được liên kết với trang web lừa đảo, bao gồm cả trang quản trị. Ảnh minh họa phía dưới cho thấy các cuộc tấn công phishing chiếm ít nhất 870 bộ thông tin xác thực trước khi trang web được đưa vào ngoại tuyến.
Holden cho biết mỗi khi một nạn nhân mới gửi thông tin đăng nhập tại trang web lừa đảo Coinbase, ban quản trị sẽ phát ra tiếng “ding” lớn để báo cho những kẻ lừa đảo đang theo dõi phía đầu dây bên kia.
Tùy trường hợp, những kẻ lừa đảo theo cách thủ công sẽ nhấn một nút trên trang web lừa đảo để yêu cầu khách hàng cung cấp thêm thông tin như OTP từ ứng dụng dành cho thiết bị di động.
Nhấn nút “Gửi thông tin” sẽ dụ người dùng cung cấp thông tin cá nhân bổ sung, bao gồm tên, ngày sinh và địa chỉ. Nếu là số điện thoại di động thì sẽ là thông báo “Gửi SMS xác minh” với một tin nhắn văn bản cung cấp mã OTP.
Dữ liệu của Holden cho thấy băng nhóm lừa đảo này đã thực hiện hàng trăm nghìn đăng ký tài khoản mỗi ngày. Ví dụ: vào ngày 10 tháng 10, những kẻ lừa đảo đã kiểm tra hơn 216.000 địa chỉ email dựa trên hệ thống của Coinbase. Ngày hôm sau, chúng đã cố gắng đăng ký 174.000 tài khoản Coinbase mới.
Trong một báo cáo được chia sẻ với KrebsOnSecurity, Coinbase cho biết họ đang thực hiện “các biện pháp bảo mật mở rộng để đảm bảo nền tảng và tài khoản khách hàng của vẫn an toàn nhất có thể”.
“Giống như tất cả các nền tảng trực tuyến lớn, Coinbase nhận ra các cuộc tấn công tự động ngày càng nhiều. Hãng có thể tự động vô hiệu hóa phần lớn các cuộc tấn công này, bằng cách sử dụng hỗn hợp các mô hình học máy nội bộ, tính năng phát hiện bot và các nhà cung cấp biện pháp phòng chống lừa đảo.
Tháng trước, Coinbase cũng tiết lộ rằng tin tặc đã đánh cắp tiền điện tử từ 6.000 khách hàng sau khi sử dụng lỗ hổng để qua mặt xác thực 2FA bằng SMS.
Để tiến hành tấn công, Coinbase cho biết những kẻ xấu cần địa chỉ email, mật khẩu và số điện thoại của khách hàng được liên kết với tài khoản Coinbase và có quyền truy cập vào tài khoản email của nạn nhân.
Mặc dù không biết bằng cách nào mà tin tặc có được quyền truy cập thông tin này, nhưng hãng tin rằng nguyên nhân là thông qua các chiến dịch phishing nhắm mục tiêu đến khách hàng của Coinbase để lấy cắp thông tin đăng nhập tài khoản, điều này đã trở nên phổ biến.
Kế hoạch phishing này là một ví dụ khác về cách kẻ xấu ngày càng tinh vi để phá vỡ các tùy chọn xác thực đa yếu tố phổ biến, chẳng hạn như OTP.
KrebsOnSecurity nhấn mạng việc kẻ gian tương đối dễ dàng lừa đảo OTP bằng cách sử dụng các cuộc gọi điện thoại và tin nhắn văn bản tự động, chẳng hạn như thông qua một trang web lừa đảo. Lưu ý khi truy cập liên kết, hãy để ý tên miền nếu có tiền tố hoặc hậu tố sử dụng ký tự lạ thì có thể đây là trang web không uy tín.
Trong miền lừa đảo đang được đề cập ở đây - coinbase.com.password-reset [.] Com - password-reset [.] Com là miền đích và “coinbase.com” chỉ là miền phụ tùy ý của việc đặt lại mật khẩu [.] com. Tuy nhiên, khi xem trên thiết bị di động, nhiều người dùng truy cập vào một miền như vậy có thể chỉ thấy phần miền phụ của URL trong thanh địa chỉ của trình duyệt.
Chuyên gia WhiteHat khuyến cáo người dùng tránh nhấp vào các liên kết lạ trong email, tin nhắn văn bản hoặc các phương tiện khác. Hầu hết các trò phishing đều câu giờ để cảnh báo trước những hậu quả nghiêm trọng nếu bạn không phản ứng hoặc hành động nhanh chóng.
Nếu bạn không chắc thông báo có uy tín hay không, hãy truy cập trang web hoặc dịch vụ được đề cập theo cách thủ công như sử dụng dấu trang của trình duyệt để tránh vào nhầm các trang web không uy tín.
Ngoài ra, đừng bao giờ cung cấp thông tin cá nhân của mình cho bất cứ thuê bao nào gọi đến và yêu cầu bạn làm vậy. Cuối cùng hãy kiểm tra lại các cài đặt đa yếu tố trên các trang web khác nhau bao gồm thông tin cá nhân và tài khoản nhé!
Coinbase là sàn giao dịch tiền điện tử lớn thứ hai thế giới, với khoảng 68 triệu người dùng từ hơn 100 quốc gia. Miền lừa đảo hiện không còn tồn tại bị chúng sử dụng là coinbase.com.password-reset [.] Com - nhắm mục tiêu đến người dùng ở Ý.
Holden Security đã nghiên cứu bên trong một số thư mục ẩn được liên kết với trang web lừa đảo, bao gồm cả trang quản trị. Ảnh minh họa phía dưới cho thấy các cuộc tấn công phishing chiếm ít nhất 870 bộ thông tin xác thực trước khi trang web được đưa vào ngoại tuyến.
Holden cho biết mỗi khi một nạn nhân mới gửi thông tin đăng nhập tại trang web lừa đảo Coinbase, ban quản trị sẽ phát ra tiếng “ding” lớn để báo cho những kẻ lừa đảo đang theo dõi phía đầu dây bên kia.
Tùy trường hợp, những kẻ lừa đảo theo cách thủ công sẽ nhấn một nút trên trang web lừa đảo để yêu cầu khách hàng cung cấp thêm thông tin như OTP từ ứng dụng dành cho thiết bị di động.
Nhấn nút “Gửi thông tin” sẽ dụ người dùng cung cấp thông tin cá nhân bổ sung, bao gồm tên, ngày sinh và địa chỉ. Nếu là số điện thoại di động thì sẽ là thông báo “Gửi SMS xác minh” với một tin nhắn văn bản cung cấp mã OTP.
Dữ liệu của Holden cho thấy băng nhóm lừa đảo này đã thực hiện hàng trăm nghìn đăng ký tài khoản mỗi ngày. Ví dụ: vào ngày 10 tháng 10, những kẻ lừa đảo đã kiểm tra hơn 216.000 địa chỉ email dựa trên hệ thống của Coinbase. Ngày hôm sau, chúng đã cố gắng đăng ký 174.000 tài khoản Coinbase mới.
Trong một báo cáo được chia sẻ với KrebsOnSecurity, Coinbase cho biết họ đang thực hiện “các biện pháp bảo mật mở rộng để đảm bảo nền tảng và tài khoản khách hàng của vẫn an toàn nhất có thể”.
“Giống như tất cả các nền tảng trực tuyến lớn, Coinbase nhận ra các cuộc tấn công tự động ngày càng nhiều. Hãng có thể tự động vô hiệu hóa phần lớn các cuộc tấn công này, bằng cách sử dụng hỗn hợp các mô hình học máy nội bộ, tính năng phát hiện bot và các nhà cung cấp biện pháp phòng chống lừa đảo.
Tháng trước, Coinbase cũng tiết lộ rằng tin tặc đã đánh cắp tiền điện tử từ 6.000 khách hàng sau khi sử dụng lỗ hổng để qua mặt xác thực 2FA bằng SMS.
Để tiến hành tấn công, Coinbase cho biết những kẻ xấu cần địa chỉ email, mật khẩu và số điện thoại của khách hàng được liên kết với tài khoản Coinbase và có quyền truy cập vào tài khoản email của nạn nhân.
Mặc dù không biết bằng cách nào mà tin tặc có được quyền truy cập thông tin này, nhưng hãng tin rằng nguyên nhân là thông qua các chiến dịch phishing nhắm mục tiêu đến khách hàng của Coinbase để lấy cắp thông tin đăng nhập tài khoản, điều này đã trở nên phổ biến.
Kế hoạch phishing này là một ví dụ khác về cách kẻ xấu ngày càng tinh vi để phá vỡ các tùy chọn xác thực đa yếu tố phổ biến, chẳng hạn như OTP.
KrebsOnSecurity nhấn mạng việc kẻ gian tương đối dễ dàng lừa đảo OTP bằng cách sử dụng các cuộc gọi điện thoại và tin nhắn văn bản tự động, chẳng hạn như thông qua một trang web lừa đảo. Lưu ý khi truy cập liên kết, hãy để ý tên miền nếu có tiền tố hoặc hậu tố sử dụng ký tự lạ thì có thể đây là trang web không uy tín.
Trong miền lừa đảo đang được đề cập ở đây - coinbase.com.password-reset [.] Com - password-reset [.] Com là miền đích và “coinbase.com” chỉ là miền phụ tùy ý của việc đặt lại mật khẩu [.] com. Tuy nhiên, khi xem trên thiết bị di động, nhiều người dùng truy cập vào một miền như vậy có thể chỉ thấy phần miền phụ của URL trong thanh địa chỉ của trình duyệt.
Chuyên gia WhiteHat khuyến cáo người dùng tránh nhấp vào các liên kết lạ trong email, tin nhắn văn bản hoặc các phương tiện khác. Hầu hết các trò phishing đều câu giờ để cảnh báo trước những hậu quả nghiêm trọng nếu bạn không phản ứng hoặc hành động nhanh chóng.
Nếu bạn không chắc thông báo có uy tín hay không, hãy truy cập trang web hoặc dịch vụ được đề cập theo cách thủ công như sử dụng dấu trang của trình duyệt để tránh vào nhầm các trang web không uy tín.
Ngoài ra, đừng bao giờ cung cấp thông tin cá nhân của mình cho bất cứ thuê bao nào gọi đến và yêu cầu bạn làm vậy. Cuối cùng hãy kiểm tra lại các cài đặt đa yếu tố trên các trang web khác nhau bao gồm thông tin cá nhân và tài khoản nhé!
Theo Krebsonsecurity
Chỉnh sửa lần cuối: