-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Sprytny phishing na portfel MetaMask. Dla niepoznaki używają przekierowania przez wyszukiwarkę Bing

04 stycznia 2023, 08:59 | W biegu | komentarzy 8

Jeden z naszych czytelników podesłał nam świeży scam na MetaMask. Jest to cyfrowy portfel kryptowalutowy używany do transakcji na blockchainie oparty na Ethereum. Instalowany jako dodatek do przeglądarki. Phishing ten jest o tyle ciekawy, że zawiera wiele punktów zasłaniających fałszerstwo. 

Rys. 1. Fałszywy e-mail.

Pierwszym jest domena z literówką łudząco przypominająca właściwy wyraz w postaci “metamaks”. Drugim jest fakt wysłania wiadomości e-mail przez serwer pocztowy w domenie Microsoft. Pomimo że metoda DKIM (sprawdzająca możliwą relację pomiędzy domeną wysyłającą a tą z pola nadawcy) wyświetla informację o nieudanym uwierzytelnieniu domeny, to jednak w większości prostych przeglądarkowych klientów pocztowych ta informacja może się nie pojawić w ogóle. Trzecim punktem jest sam szablon wiadomości, który jest identyczny jak szablon z prawidłowej domeny MetaMask. Jednak ten fałszywy zawiera też błędy – m.in. linki do portali społecznościowych nie wyświetlają się jako ikony, a czysty tekst pionowy jest nieprawidłowo wyświetlany.

Rys. 2. Badanie nagłówka wiadomości.

Czwartym punktem, najbardziej ciekawym, jest sam link w treści wiadomości. Przestępca używa przekierowania z wyszukiwarki bing.com, by ukryć złośliwy link. Ciekawostką jest jednak fakt, że zanim z przekierowania trafi się na fałszywą stronę, to po drodze użytkownik przechodzi przez stronę info.support.huawei.com.

Rys. 3. Nagłówek HTTP po kliknięciu w link.

Przekierowanie jest realizowane za pomocą metody kodowania URL i kieruje do adresu https://metamask[.]io-portal[.]org z konkretnym parametrem, prawdopodobnie będącym identyfikatorem kampanii atakującej.

Rys. 4. Pełna strona phishingowa.

Strona wymaga jedynie podania wyrazów tworzących tzw. “passphrase”, czyli “hasła” wygenerowanego w momencie tworzenia portfela z np. 12 losowych wyrazów. Po podaniu tych wyrazów strona natychmiast informuje, że “weryfikacja przebiegła pomyślnie” i ofiara zostaje od razu przekierowana na prawidłową stronę – metamask.io.

Rys. 5. Weryfikacja udana, tudzież mamy dostęp do Twojego portfela.

Strona wyświetla się już w VirusTotal jako potencjalnie niebezpieczna.

Uważajcie!

Jeżeli chcesz poznać więcej tego typu bieżących analiz, koniecznie zapisz się na nasze szkolenie „Nie daj się cyberzbójom 3.0” pod tym linkiem.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Ja miałem jeszcze ciekawszy przypadek, ale moja ukochana przeglądarka Opera mnie ostrzegła (albo sam Metamask?), że coś jest nie tak. Miałem jakieś takie ciekawe złośliwe oprogramowanie, które sprawiało, że po skopiowaniu adresu portfela na Metamasku, wklejał się już inny na stronie innego portfela czy giełdy, z której miałem przelać kryptowaluty. W momencie wklejania adresu tego portfela, dostawałem komunikat, że wklejony adres różni się od skopiowanego. Norton nie znalazł źródła problemu i dopiero Malwarebytes usunął ten sprytny program.

    Odpowiedz
    • czekaj

      Teraz czekaj na wirusa, który od razu podmieni adres w przeglądarce.
      Zrób nową instalację systemu i nie ufaj nortonowi.
      Poczytaj safegroup pl

      Odpowiedz
  2. Magdalena

    Proszę czy ktoś mi może pomóc. Zostałam oszukana. I nie wiem jak mam sobie z tym poradzić. Oszust wydzwania do mnie żebym wpłaciła 6tys $ bo stracę wszystkie środki na metamask. Jestem zielona i nie wiem co mam robić. Proszę pomóżcie

    Odpowiedz
    • Jacek

      Nic nie rób
      Dopóki nie ma ktoś dostępu do MM, telefonem może Ci naskoczyc.

      Odpowiedz
  3. Beata

    Witam
    Proszę mi pomóc
    Czy dzisiaj trzeba robić weryfikację swojego dokumentu i wpłaty określonej sumy aby weryfikacja na MetaMask przeszła pomyślnie?

    Odpowiedz
    • Jarek

      Nie trzeba żadnej weryfikacji na MM

      Odpowiedz
  4. Beata

    Czy jest potrzebna weryfikacja konta?
    W e-mailu wysłano mi wiadomość o koniecznej wpłacie 4.475$ i dowód osobisty
    Proszę niech mi ktoś pomoże
    Mam na to 3 dni robocze i środki zamrożone
    Widać je ale nic z nimi nie mogę zrobić
    Proszę pomocy

    Odpowiedz
  5. Szymon

    MetaMask dość ryzykowna aplikacja.Po pół roku zalogowałem się na swoje konto i brak środków. Okazało się, że ktoś włamał się na konto i przelał na inny adres. Sekcja bezpieczeństwa napisała, że padłem ofiarą ataku i sprawa zamknięta. Całe szczęście, że Eth było niedużo.

    Odpowiedz

Odpowiedz