Η Check Point Research (CPR) – το τμήμα έρευνας της Check Point Software Technologies –προειδοποιεί τους χρήστες πορτοφολιών κρυπτονομισμάτων για μαζική εκστρατεία phishing σε μηχανές αναζήτησης που είχε ως αποτέλεσμα την κλοπή τουλάχιστον μισού εκατομμυρίου δολαρίων.

Τις τελευταίες εβδομάδες, υπήρξαν πολλές αναφορές για απάτες στον κόσμο των κρυπτονομισμάτων, δίνοντας έμφαση στο πώς οι επενδυτές πρέπει να είναι προσεκτικοί ώστε να αποφύγουν να πέσουν θύματα επιθέσεων που μπορεί να οδηγήσουν στην κλοπή των κεφαλαίων τους.

Κατά τη διάρκεια του περασμένου Σαββατοκύριακου, η Check Point Research (CPR) – το τμήμα έρευνας της Check Point Software Technologies – αντιμετώπισε εκατοντάδες περιστατικά στα οποία οι επενδυτές κρυπτονομισμάτων έχασαν τα χρήματά τους ενώ προσπαθούσαν να κατεβάσουν και να εγκαταστήσουν γνωστά πορτοφόλια κρυπτονομισμάτων ή να αλλάξουν τα νομίσματά τους σε πλατφόρμες ανταλλαγής όπως το PancakeSwap ή το Uniswap.

Σε διάφορες διαδικτυακές πλατφόρμες όπως το Reddit και το Twitter, οι χρήστες παραπονέθηκαν ότι έπεσαν θύματα πειρατείας όταν έκαναν κλικ σε συνδέσμους που ήταν ιστοσελίδα phishing για προτοφόλια.

Παραδοσιακά, οι καμπάνιες phishing προέρχονται από το ηλεκτρονικό ταχυδρομείο. Σε κάτι που φαίνεται να είναι μια νέα τάση, πολλές ομάδες απάτης υποβάλλουν τώρα  προσφορές για λέξεις-κλειδιά που σχετίζονται με το πορτοφόλι στο Google Ads, χρησιμοποιώντας την Αναζήτηση Google ως φορέα επίθεσης για να στοχεύσουν τα κρυπτογραφημένα πορτοφόλια των θυμάτων τους.

Πως Λειτουργεί η Απάτη

  • Ο απατεώνας τοποθετεί μια διαφήμιση Google για να εμφανίζεται πρώτη κατά τη διάρκεια μιας αναζήτησης που σχετίζεται με ένα πορτοφόλι κρυπτογράφησης
  • Το θύμα κάνει κλικ σε κακόβουλο σύνδεσμο στο Google Ad
  • Το θύμα πλοηγείται σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που μοιάζει πανομοιότυπος με τον αρχικό ιστότοπο του πορτοφολιού
  • Ο ψεύτικος ιστότοπος επιχειρεί να κλέψει τη φράση πρόσβασής του θύματος εν διαθέτει ήδη πορτοφόλι, ή παρέχει μια νέα φράση πρόσβασης για το πορτοφόλι που μόλις
    δημιουργήσε το θύμα
  • Και με τους δύο τρόπους, ο απατεώνας αποκτά πρόσβαση στο πορτοφόλι του και μπορεί να προχωρήσει στην κλοπή όλων των κρυπτονομισμάτων του

Πως εμφανίζεται

Για τον τομέα “phantom.app”, η CPR αντιμετώπισε παραλλαγές phishing όπως phanton.app ή phantonn.app ή ακόμα και διαφορετικές επεκτάσεις όπως “.pw” και άλλα.

Γράφημα 1. Phishing Ad of Phantom Wallet

pastedGraphic.png

Γράφημα 2. Malicious Google Ad imitating MetaMask 

pastedGraphic_1.png

Όπως περιγράφεται παραπάνω, κάθε κακόβουλη διαφήμιση οδηγεί σε έναν ιστότοπο phishing.

Γράφημα 3. Fraudulent Phantom website next to the original Phantom website

 

(Fraudelent page)

pastedGraphic_2.png 

(Original page)

pastedGraphic_3.png

Τα Θύματα

CPR βρήκε 11 παραβιασμένους λογαριασμούς πορτοφολιού, ο καθένας από τους οποίους περιείχε από $1.000 έως $10.000. Η CPR διαπίστωσε επίσης, ότι οι απατεώνες είχαν ήδη αποσύρει ορισμένα από τα κεφάλαια πριν την ανακάλυψη τους. Διασταυρώνοντας τα φόρουμ του Reddit όπου τα θύματα εξέφρασαν την κλοπή, η CPR εκτιμά ότι κλάπηκαν πάνω από 500 χιλιάδες δολάρια το περασμένο Σαββατοκύριακο.

Σχόλιο του Oded Vanunu, Head of Products Vulnerabilities Research στην Check Point Software

«Μέσα σε λίγες μέρες, γίναμε μάρτυρες της κλοπής κρυπτονομισμάτων αξίας εκατοντάδων χιλιάδων δολαρίων. Υπολογίζουμε ότι μόνο το περασμένο Σαββατοκύριακο κλάπηκε cypto αξίας άνω των 500.000 $. Πιστεύω ότι βρισκόμαστε στην έλευση μιας νέας τάσης του εγκλήματος στον κυβερνοχώρο, όπου οι απατεώνες θα χρησιμοποιούν την Αναζήτηση Google ως κύριο φορέα επίθεσης για να φτάσουν σε πορτοφόλια κρυπτογράφησης, αντί να  κάνουν παραδοσιακό ηλεκτρονικό ψάρεμα μέσω email. Κατά την παρατήρησή μας, κάθε διαφήμιση είχε προσεκτική ανταλλαγή μηνυμάτων και επιλογή λέξεων-κλειδιών, ώστε να ξεχωρίζει στα αποτελέσματα αναζήτησης. Οι ιστότοποι phishing στους οποίους κατευθύνονταν τα θύματα αντανακλούσαν σχολαστική αντιγραφή και μίμηση μηνυμάτων branded πορτοφολιού. Και αυτό που είναι το πιο ανησυχητικό είναι ότι πολλές ομάδες απατεώνων  υποβάλλουν προσφορές για λέξεις-κλειδιά στο Google Ads, κάτι που είναι πιθανότατα ένα σημάδι της επιτυχίας αυτών των νέων καμπανιών  phishing που είναι προσανατολισμένες στη ληστεία κρυπτογραφημένων πορτοφολιών. Δυστυχώς, αναμένω ότι αυτό θα γίνει μια ταχέως αναπτυσσόμενη τάση στο έγκλημα στον κυβερνοχώρο. Προτρέπω θερμά την κοινότητα κρυπτογράφησης να ελέγξει ξανά τις διευθύνσεις URL στις  οποίες κάνουν κλικ και να αποφύγει να κάνει κλικ στα Google Ads που σχετίζονται με πορτοφόλια κρυπτογράφησης αυτή τη στιγμή.”

Πως να προστατευθείτε

  1. Εξετάστε τη διεύθυνση URL του προγράμματος περιήγησης. Μόνο η επέκταση πρέπει να δημιουργεί τη φράση πρόσβασης και για να καταλάβετε αν πρόκειται για επέκταση ή για ιστότοπο, δώστε πάντα προσοχή στη διεύθυνση URL του προγράμματος περιήγησης.
  2. Αναζητήστε το εικονίδιο επέκτασης. Η επέκταση θα περιέχει ένα εικονίδιο επέκτασης κοντά της και μια διεύθυνση με chrome-extension URL:

pastedGraphic_4.png

  1. Μην δίνετε ποτέ τη φράση πρόσβασής. Οι χρήστες δεν πρέπει ποτέ να δίνουν τη φράση πρόσβασής τους, κανείς δεν πρέπει ποτέ να το ζητήσει. και θα χρησιμοποιηθεί ξανά μόνο κατά την εγκατάσταση ενός νέου πορτοφολιού
  2. Παράβλεψη των διαφημίσεων. Αν αναζητάτε πορτοφόλια ή πλατφόρμες συναλλαγών και ανταλλαγής κρυπτονομισμάτων στον χώρο κρυπτογράφησης, προσέξτε πάντα τον πρώτο ιστότοπο στην αναζήτησή σας και όχι στη διαφήμιση, καθώς αυτά μπορεί να σας παραπλανήσουν ώστε να εξαπατηθείτε από τους εισβολείς.
  3. Ρίξτε μια ματιά στη διεύθυνση URL. Τελευταίο αλλά εξίσου σημαντικό – ελέγχετε πάντα τις διευθύνσεις URL!

Περισσότερες Πληροφορίες στο συνημμένο Blog και έχουμε επίσης διαθέσιμο ένα σχετικό βίντεο στο ακόλουθο link: https://www.youtube.com/watch?v=RRlgjBSQCw0