Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sprytny phishing na portfel MetaMask. Dla niepoznaki używają przekierowania przez wyszukiwarkę Bing
Jeden z naszych czytelników podesłał nam świeży scam na MetaMask. Jest to cyfrowy portfel kryptowalutowy używany do transakcji na blockchainie oparty na Ethereum. Instalowany jako dodatek do przeglądarki. Phishing ten jest o tyle ciekawy, że zawiera wiele punktów zasłaniających fałszerstwo.
Rys. 1. Fałszywy e-mail.
Pierwszym jest domena z literówką łudząco przypominająca właściwy wyraz w postaci “metamaks”. Drugim jest fakt wysłania wiadomości e-mail przez serwer pocztowy w domenie Microsoft. Pomimo że metoda DKIM (sprawdzająca możliwą relację pomiędzy domeną wysyłającą a tą z pola nadawcy) wyświetla informację o nieudanym uwierzytelnieniu domeny, to jednak w większości prostych przeglądarkowych klientów pocztowych ta informacja może się nie pojawić w ogóle. Trzecim punktem jest sam szablon wiadomości, który jest identyczny jak szablon z prawidłowej domeny MetaMask. Jednak ten fałszywy zawiera też błędy – m.in. linki do portali społecznościowych nie wyświetlają się jako ikony, a czysty tekst pionowy jest nieprawidłowo wyświetlany.
Rys. 2. Badanie nagłówka wiadomości.
Czwartym punktem, najbardziej ciekawym, jest sam link w treści wiadomości. Przestępca używa przekierowania z wyszukiwarki bing.com, by ukryć złośliwy link. Ciekawostką jest jednak fakt, że zanim z przekierowania trafi się na fałszywą stronę, to po drodze użytkownik przechodzi przez stronę info.support.huawei.com.
Rys. 3. Nagłówek HTTP po kliknięciu w link.
Przekierowanie jest realizowane za pomocą metody kodowania URL i kieruje do adresu https://metamask[.]io-portal[.]org z konkretnym parametrem, prawdopodobnie będącym identyfikatorem kampanii atakującej.
Rys. 4. Pełna strona phishingowa.
Strona wymaga jedynie podania wyrazów tworzących tzw. “passphrase”, czyli “hasła” wygenerowanego w momencie tworzenia portfela z np. 12 losowych wyrazów. Po podaniu tych wyrazów strona natychmiast informuje, że “weryfikacja przebiegła pomyślnie” i ofiara zostaje od razu przekierowana na prawidłową stronę – metamask.io.
Rys. 5. Weryfikacja udana, tudzież mamy dostęp do Twojego portfela.
Strona wyświetla się już w VirusTotal jako potencjalnie niebezpieczna.
Uważajcie!
Jeżeli chcesz poznać więcej tego typu bieżących analiz, koniecznie zapisz się na nasze szkolenie „Nie daj się cyberzbójom 3.0” pod tym linkiem.
~tt
Ja miałem jeszcze ciekawszy przypadek, ale moja ukochana przeglądarka Opera mnie ostrzegła (albo sam Metamask?), że coś jest nie tak. Miałem jakieś takie ciekawe złośliwe oprogramowanie, które sprawiało, że po skopiowaniu adresu portfela na Metamasku, wklejał się już inny na stronie innego portfela czy giełdy, z której miałem przelać kryptowaluty. W momencie wklejania adresu tego portfela, dostawałem komunikat, że wklejony adres różni się od skopiowanego. Norton nie znalazł źródła problemu i dopiero Malwarebytes usunął ten sprytny program.
Teraz czekaj na wirusa, który od razu podmieni adres w przeglądarce.
Zrób nową instalację systemu i nie ufaj nortonowi.
Poczytaj safegroup pl
Proszę czy ktoś mi może pomóc. Zostałam oszukana. I nie wiem jak mam sobie z tym poradzić. Oszust wydzwania do mnie żebym wpłaciła 6tys $ bo stracę wszystkie środki na metamask. Jestem zielona i nie wiem co mam robić. Proszę pomóżcie
Nic nie rób
Dopóki nie ma ktoś dostępu do MM, telefonem może Ci naskoczyc.
Witam
Proszę mi pomóc
Czy dzisiaj trzeba robić weryfikację swojego dokumentu i wpłaty określonej sumy aby weryfikacja na MetaMask przeszła pomyślnie?
Nie trzeba żadnej weryfikacji na MM
Czy jest potrzebna weryfikacja konta?
W e-mailu wysłano mi wiadomość o koniecznej wpłacie 4.475$ i dowód osobisty
Proszę niech mi ktoś pomoże
Mam na to 3 dni robocze i środki zamrożone
Widać je ale nic z nimi nie mogę zrobić
Proszę pomocy
MetaMask dość ryzykowna aplikacja.Po pół roku zalogowałem się na swoje konto i brak środków. Okazało się, że ktoś włamał się na konto i przelał na inny adres. Sekcja bezpieczeństwa napisała, że padłem ofiarą ataku i sprawa zamknięta. Całe szczęście, że Eth było niedużo.