Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Analiza fałszywego kantoru kryptowalut
Na skrzynkę sekurak@sekurak.pl otrzymaliśmy od Was ciekawy rodzaj phishingu. Do potencjalnej ofiary przychodzi SMS z danymi logowania do portalu sugerującego, że na wskazanym w wiadomości koncie znajduje się bardzo dużo pieniędzy w kryptowalucie USDT. Jest to jeden z kryptowalutowych odpowiedników amerykańskiego dolara, którego wartość zwykle jest równa wartości prawdziwej waluty (tzw. „stable coin”). Wygląda, że treść przychodzi z legalnego konta w komunikatorze iMessages od Apple. Konto przedstawia się jako singh[.]cambronero2@icloud[.]com. Według portali sprawdzających potencjalne wycieki haseł do kont takich jak haveibeenpwned lub dehashed – konto nie znajduje się w żadnych dotychczasowych wyciekach, więc teoretycznie można wykluczyć włamanie z wycieku, ale nie można wykluczyć włamania “świeżego” wyłącznie do tego użytkownika, który na ten moment może jeszcze nie wiedzieć, że rozsyła zagrożenie.
Domena z wiadomości SMS https://usdtmarkt.tech została zarejestrowana 29.09.2022, więc kilkanaście dni temu, a rejestrator i dane właściciela są schowane za usługą PrivacyGuardian.
Postanowiliśmy sprawdzić na czym polega wyłudzenie i przetestowaliśmy atak w środowisku laboratoryjnym z maszynami wirtualnymi i piaskownicami (ang. sandbox). Po wejściu na w/w. stronę pojawia zgodnie z przewidywaniami ekran logowania:
Po wpisaniu danych uwierzytelniania z SMS, nie dziwi fakt, że udaje się nam zalogować do “portalu”. W międzyczasie sprawdziliśmy też pozostałe przyciski takie jak rejestracja i odzyskiwanie hasła. Po wybraniu “Zarejestruj nowe konto” system prosi nas o kilka danych, m.in. numer rachunku bankowego, adres poczty e-mail, kraj z kierunkowym prefiksem, numer telefonu oraz login, hasło i sekretny klucz. Nie bardzo wiadomo do czego służyć może to pole. Być może napastnik zakłada przekazanie prywatnego klucza GPG? Na końcu w celu utwardzenia w nas poczucia autentyczności portalu, jest także formularz weryfikacyjny. Formularz ma także walidację wpisywanej treści i np. nie da się wpisać liter do numeru telefonu zamiast cyfr, a hasło jest zagwiazdkowane, w trosce o nasze bezpieczeństwo (!).
Panel “Zapomnij hasło” również wygląda interesująco.
Wracając do meritum, po zalogowaniu kontem “jack28” z hasłem ******* przechodzimy do wnętrza portalu na którym faktycznie dostrzegamy rzekomo dużą kwotę posiadanego Tethera. Dodatkowo konto jack28 ma też status VIP5, co na prawdziwych giełdach kryptowalut oznacza zwykle możliwość wypłaty wyższych kwot na swoje konto bankowe z giełdy.
Przeklikując poszczególne elementy menu z lewej strony przechodzimy najpierw do zakładki “doładowanie” gdzie funkcjonalność nie została do końca wdrożona poprawnie. W tym fragmencie strony wyłudzenie polega na załadowaniu zrzutu ekranu z prawdziwej transakcji jako “potwierdzenie” doładowania na konkretny portfel kryptowalutowy BTC.
Niestety tłumaczenie na język polski jest typowo słownikowe, natomiast na języku angielskim wszystko jest zrozumiałe, więc w dalszej kolejności przestawiliśmy panel na angielski. Poniżej panel “wypłaty”, czyli prawidłowo z j. angielskiego – withdrawals.
Przy próbie wypłaty jednak okazuje się, że konto pomimo, że ma piąty poziom zaawansowania (VIP5) to jednak nie możemy wypłacić żadnej sumy, bo nie był wykonany jeszcze żaden depozyt do giełdy. Co ciekawe – realne giełdy również działają podobnie jednak wcześniej następuje pełna weryfikacja danych – KYC (ang. Know Your Client). Nagle przed naszymi oczami pojawia się informacja phishingowa “Musisz zdeponować trochę kasy by móc wypłacić jeszcze większą kasę ze swojego krypto konta bo będziesz wtedy jako VIP5”:
Adresy phishingowe portfeli do kradzieży dobrowolnych wpłat najpopularniejszych sieci TRX (TRC20) oraz Ethereum (ERC20):
Powyższy atak odnosi się do podstaw socjotechnicznego działania na emocjach i jest bardzo dobrym przykładem do powiedzenia “okazja czyni złodzieja” oraz “chytry traci dwa razy”.
~tt
” Do potencjalnej ofiary przychodzi SMS z danymi logowania do portalu sugerującego, że na wskazanym w wiadomości koncie znajduje się bardzo dużo pieniędzy w kryptowalucie USDT.”
I na tym zakonczymy. Jest to nowa forma spadku od nigeryjskiego przodka, ktorego pani Janina czy pan Stanislaw nigdy nie mieli ale mimo wszystko postanowili zdeponowac wszystkie srodki jakie mieli…
Zastanawia mnie kto dostaje takie smsy ? Czy jest to jakaś przypadkowa kompletnie randomowa grupa czy wyciek telefonów z jakiejś konkretnej bazy danych powiązanej z giełdami/serwisami krypto walut ?
Ja dostaje tylko sporadycznie smsy od kuriera, który nie dostarczył paczki z różnych powodów i mam się gdzieś logować aby sprawdzić co z paczką.
To dobre pytanie – ja bym się nie skusił bo nawet nie wiem, czym jest USDT albo VIP5.
Mało kusząca dla mnie oferta, znacznie gorsza niż spadek z odległego kraju ;-)
Napisali do mnie przez WhatsApp. Następnie dyskusja przeniosła się na Telegram…
Na stronie – www(.)iq-digital-asset(.)com – nic nie działa poza grupą TELEGRAM i linkiem rejestracyjnym.
https://www.facebook.com/photo/?fbid=6007458849304503&set=a.189670807750032¬if_id=1667775135670838&
I received the same type of iMessage today.