Udaliśmy ofiarę phishingu w rozmowie z przestępcą – zobacz jego zachowanie!

Pewnego dnia na nasz Twitterowy profil odezwał się przestępca, prawdopodobnie bez świadomości, że naszą specjalizacją jest cyberbezpieczeństwo. Specjalnie dla naszych czytelników wcieliliśmy się w rolę ofiary ataku phishingowego i przeprowadziliśmy pełną rozmowę z cyberzbójem poznając wektor ataku liquidity mining phishing o którym niedawno ostrzegało biuro FBI w swoim oświadczeniu.

Napastnik w wiadomości zostawił nam informację o możliwości uczestniczenia w dochodzie pasywnym kryptowaluty Tron (TRX). Wydobywanie płynności (ang. “liquidity mining”) polega na przekazaniu części swojej puli kryptowalut do zapewnienia większej płynności transakcji i dzięki temu dostajemy procent od opłat handlowych przeprowadzonych transakcji w wybranej sieci blockchain. Jest to normalna właściwość wielu kryptowalut, krypto giełd i kantorów. Jednak może też posłużyć przestępcom jako scenariusz phishingowy. Zbój napisał nam, że jest dostępny pod numerem telefonu lub można z nim rozmawiać w komunikatorze Telegram. Z racji, że nie odbierał telefonu, wybraliśmy Telegram :-).

Rys. 1. Informacja od cyberzbója.

Zbadaliśmy profil tego konta na Twitterze i standardowo można było dostrzec, że konto zostało niedawno utworzone i nie ma zbyt wielu aktywności. 

Rys. 2. Profil zbójca w portalu Twitter.

Nie pozostało nam nic innego jak skonfigurować tymczasowe konto Telegram zarejestrowane za pomocą tymczasowego numeru telefonu i e-mail i w tzw. bezpiecznej piaskownicy (ang. “sandbox”) przeprowadzenie rozmowy. Przygotowaliśmy do tego celu jałową maszynę wirtualną odseparowaną od właściwego środowiska pracy wraz z zainstalowanymi narzędziami typu Windows Sandbox oraz Telegram Desktop.

Rozpoczęliśmy jak typowa, napalona ofiara, od razu przechodząc “do rzeczy”. Cyberzbój chciał potwierdzenia, czy dowiedzieliśmy się o miningu z Twittera. Potwierdziliśmy.

Rys. 3. Początek rozmowy.

Przestępca przeprowadził dla nas wykład teoretyczny o profitach liquidity mining oraz o samej kryptowalucie TRX. 

Rys. 4. Wykład nt. technologii.

Następnie cyberzbój przeszedł do meritum, tj. przedstawił nam możliwości “zarobku”. Jak możemy zauważyć, minimalny “punkt wejścia” w pulę to 10 Tetherów (kryptowaluta USDT – jeden ze stablecoinów, rzekomy odpowiednik 1:1 dolara w świecie blockchain).

Rys. 5. Zachęta do wejścia.

Dodatkowo napastnik pokazuje nam rzekomy zrzut ekranu swojego portfela z dużą ilością pieniędzy. Jednak nie za dużą. Wszystko po to by nie wzbudzić naszej czujności jako ofiary – czytała Krystyna Czubówna © ;-). Nie pozostaliśmy obojętni, udając zszokowanych.

Rys. 6. Dalsza zachęta w inwestycję.

Pojawiają się pytania z której fazy chcielibyśmy skorzystać. Decyzja zależy od tego jaką sumę chcemy zamrozić do realizacji płynnego wydobywania. Pojawia się także pierwszy link. Cyberzbójec wysyła nam prośbę o instalację aplikacji z Google Play – portfel Assure. 

Rys. 7. Pierwszy link do instalacji aplikacji.

Sprawdziliśmy tę aplikację. Posiada więcej niż 10 000 pobrań, ale deweloper nie wygląda na profesjonalistę z kontem gmail. Analizując dodatkowo stronę, trafiamy tak naprawdę pod dwa linki: assure[.]center/Assure/Websites/ (rys. 9) oraz assure[.]center (rys. 10). Co ciekawe, zarówno na profilu aplikacji, na starej stronie oraz nowej – wszędzie jest prezentowany inny adres kontaktowy. Raz konto gmail z dziwnym loginem (assurerrr[@]gmail[.]com), raz konto hotmail z jeszcze dziwniejszym (jwbzsjldlyosefls[@]hotmail[.]com), aż w końcu profesjonalny adres na nowej stronie. Sprawdziliśmy te strony na virustotal.com jednak wszystko wygląda na prawidłowe.

Rys. 8. Strona pobierania portfela Assure w Google Play.

Rys. 9. Stara (?) strona projektu portfela.

Rys. 10. Aktualna strona projektu portfela.

Zainstalowaliśmy aplikację na Androida w bezpiecznym, odseparowanym środowisku. Pierwsze jednak co się ewidentnie rzuca w oczy to uprawnienia jakie aplikacja od nas żąda. W naszej ocenie zdecydowanie jest ich za dużo i uprawnienia potrzebne są zbyt szerokie. W normalnej sytuacji życiowej zalecali byśmy rezygnację z jej instalacji.

Rys. 11. Aplikacja prosząca o bardzo dużo niepotrzebnych dla niej uprawnień.

Sam wygląd aplikacji nie wygląda na dopracowany…

Rys. 12. Okno startowe aplikacji Assure z pikselozą.

Sama aplikacja również nie jest dopracowana, gdyż w momencie tworzenia portfela proponuje jego unikalną nazwę jako maska walletXXX, gdzie w przypadku 10+ tysięcy pobrań aplikacji nazwy od wallet001 do wallet999 na pewno były wykorzystane. Postanawiamy nieco uprzykrzyć życie naszemu cyberzbójowi i przekazujemy, że nie możemy się zarejestrować :-).

Rys. 13. Tworzenie portfela z unikalną nazwą i “tajnym” hasłem.

Rys. 14. Podnoszenie poziomu irytacji cyberzbója.

Rys. 15. Podnoszenie poziomu irytacji cyberzbója.

Rys. 16. Podnoszenie poziomu irytacji cyberzbója.

Rys. 17. Podnoszenie poziomu irytacji cyberzbója.

W następnym kroku, przestępca tłumaczy nam co powinniśmy zrobić by dołączyć jako uczestnik do puli liquidity mining waluty TRX.

Rys. 18. Instrukcja dołączenia liquidity pool.

Rys. 19. Instrukcja dołączenia liquidity pool.

Rys. 20. Wygenerowany adres portfela TRX dla naszego konta dzięki instrukcji cyberzbója.

Po wygenerowaniu adresu portfela przyjmującego walutę TRX powinniśmy przelać minimalną wartość dla danej fazy w której chcemy uczestniczyć. Zdecydowaliśmy się na 100 USDT. Sprawdzaliśmy ten adres w eksploratorze blockchain sieci Tron, jednak nie posiada on żadnych transakcji (co urealnia jego prawidłowe wygenerowanie).

Rys. 21. Czas decyzji ile przelać – ile zarobić.

Następnie z naszej strony próbowaliśmy wydobyć od napastnika adres właściwego phishingu jednak był on bardzo czujny. Sprawę przeciągneliśmy do następnego dnia.

Rys. 22. Próba pozyskania złośliwego linka lub programu.

Następnego dnia dochodzi do punktu kulminacyjnego phishingu.

Rys. 23. Instrukcja napastnika jak dołączyć do puli płynności TRX.

I jest, w końcu udało nam się zdobyć link. https://www[.]trxpools[.]club/#/?authinvitation_code=046vxXBq1a

Rys. 24. Bingo

Strona ewidentnie pachnie fałszywym phishingiem ze względu na liczne błędy.

Rys. 25. Fragment phishingowej strony.

Zgodnie z instrukcją napastnika, próbujemy się podłączyć z naszym zasobnym portfelem do puli płynności z phishingowej strony.

Rys. 26. Podłączenie do phishingu.

Rys. 27. Podłączenie do phishingu.

28. Podłączenie do phishingu.

Rys. 29. Przy okazji, “responsywność” strony na smartfonie.

Co ciekawe, przeglądając fałszywą stronę, jest tam także ikonka kierująca na inny profil na Telegramie.

Rys. 30. Dodatkowe fałszywe konto “obsługi klienta” na Telegramie.

Po wprowadzeniu linku do aplikacji Assure, strona phishingowa prosi nas o podanie hasła do portfela… zupełnie przypadkowo!

Rys. 31. Pierwszy punkt przekazania krytycznych danych – hasła do portfela na zewnętrzną, fałszywą stronę.

Poinformowaliśmy naszego przestępcę, że przelaliśmy na nasz portfel odpowiednik 100 dolarów kryptowaluty TRX i spreparowaliśmy zrzut ekranu.

Rys. 32. Spreparowany zrzut ekranu z portfelem z puli.

Ze względu na to, że kontakt się następnie “urwał” :-) zaczekaliśmy do następnego dnia z pytaniem “gdzie moje piniondze?!” jednak przestępcy już nie było :-(. Uciekł z naszymi “pieniędzmi”, które na szczęście figurowały jedynie na zrzucie ekranu. 

Rys. 34. Blokada konta na Twitterze.

Powyżej przedstawiliśmy Wam pełny schemat ataku phishingowego z wykorzystaniem chęci partycypacji w popularnym ostatnio wydobywaniu płynności wybranej kryptowaluty. Jakie można wyciągnąć z tego wnioski?

Atak rozpoczął się od automatycznej wysyłki wiadomości do bardzo wielu profili na Twitterze. Atakujący następnie oczekiwał na kontakt na Telegramie. W przypadku odzewu, bardzo grzecznie i profesjonalnie prowadził instruktaż w temacie w którym ofiara jest zainteresowana i napalona. Przygotowywał zrzuty ekranu, odpowiadał na pytania. Innymi słowy, chciał na siebie “zarobić” w kradzieży. Nawet gdy podnosiliśmy cyberzbójowi ciśnienie to nie dał się do końca wyprowadzić z równowagi. Postąpiliśmy zgodnie z jego krokami, aż do momentu gdzie zauważył sam, że coś musi być nie tak i się zawinął. Chętnie zobaczylibyśmy jego minę wtedy :-).

Co do samej strony trxpools[.]club nie mamy wątpliwości, że służy do wyłudzania danych. Co do samego portfela “garażowego” nie możemy tego stwierdzić, zwłaszcza, że aplikacja przeszła żmudny proces publikacji w AppStore, w którym również jest dostępna poza wersją na systemy Android, a tam weryfikacja nie jest prowadzona “z automatu”. Zachowawczo jednak przestrzegamy przed używaniem mało popularnych narzędzi ze sklepów oraz instalacji z niezaufanych źródeł.

Pamiętajcie by zawsze zachować czujność, wszelkie próby informowania nas o “szybkim zarobku” z reguły są atakiem. Jakbyś chciał zobaczyć więcej takich przypadków, zapisz się na nasze szkolenie “Nie daj się cyberzbójom 2.0” pod tym adresem.

~tt