Une récente campagne de phishing ciblant Coinbase utilisateurs montre que les voleurs sont de plus en plus intelligents sur les mots de passe à usage unique (OTP) de phishing nécessaires pour terminer le processus de connexion. Cela montre également que les hameçonneurs tentent de s’inscrire à de nouveaux comptes Coinbase par millions dans le cadre d’un effort visant à identifier les adresses e-mail déjà associées à des comptes actifs.
Une version traduite par Google du site de phishing Coinbase aujourd’hui disparu, coinbase.com.password-reset[.]com
Coinbase est le deuxième plus grand échange de crypto-monnaie au monde, avec environ 68 millions d’utilisateurs dans plus de 100 pays. Le domaine de phishing aujourd’hui disparu en cause – coinbase.com.password-reset[.]com — ciblait les utilisateurs italiens de Coinbase (la langue par défaut du site était l’italien). Et ce fut assez réussi, selon Alex Holdenfondateur de la société de cybersécurité basée à Milwaukee Garder la sécurité.
L’équipe de Holden a réussi à scruter l’intérieur de certains répertoires de fichiers mal cachés associés à ce site de phishing, y compris sa page d’administration. Ce panneau, illustré dans la capture d’écran expurgée ci-dessous, indiquait que les attaques de phishing avaient généré au moins 870 ensembles d’informations d’identification avant que le site ne soit mis hors ligne.
Le panneau de phishing de Coinbase.
Holden a déclaré que chaque fois qu’une nouvelle victime soumettait des informations d’identification sur le site de phishing Coinbase, le panneau administratif faisait un « ding » fort – probablement pour alerter celui qui était au clavier à l’autre bout de cette escroquerie de phishing qu’il en avait un en direct sur le accrocher.
Dans chaque cas, les hameçonneurs appuyaient manuellement sur un bouton qui obligeait le site d’hameçonnage à demander aux visiteurs plus d’informations, comme le mot de passe à usage unique de leur application mobile.
« Ces gars ont des capacités en temps réel pour solliciter toute contribution de la victime dont ils ont besoin pour accéder à leur compte Coinbase », a déclaré Holden.
En appuyant sur le bouton « Envoyer les informations », les visiteurs ont été invités à fournir des informations personnelles supplémentaires, notamment leur nom, leur date de naissance et leur adresse. Armés du numéro de téléphone portable de la cible, ils peuvent également cliquer sur « Envoyer un SMS de vérification » avec un message texte les invitant à renvoyer un code à usage unique.
SIFTING COINBASE POUR LES UTILISATEURS ACTIFS
Holden a déclaré que le groupe de phishing semble avoir identifié les utilisateurs italiens de Coinbase en tentant de créer de nouveaux comptes sous les adresses e-mail de plus de 2,5 millions d’Italiens. Son équipe a également réussi à récupérer les données de nom d’utilisateur et de mot de passe que les victimes ont soumises au site, et pratiquement toutes les adresses e-mail soumises se terminaient par « .it ».
Mais les hameçonneurs dans ce cas n’étaient probablement pas intéressés par l’enregistrement de comptes. Au contraire, les méchants ont compris que toute tentative d’inscription à l’aide d’une adresse e-mail liée à un compte Coinbase existant échouerait. Après avoir fait cela plusieurs millions de fois, les hameçonneurs prenaient alors les adresses e-mail qui avaient échoué à l’ouverture de nouveaux comptes et les ciblaient avec des e-mails d’hameçonnage sur le thème de Coinbase.
Les données de Holden montrent que ce gang de phishing a mené quotidiennement des centaines de milliers de tentatives d’inscription à un compte sans enthousiasme. Par exemple, le 10 octobre, les escrocs ont vérifié plus de 216 000 adresses e-mail sur les systèmes de Coinbase. Le lendemain, ils ont tenté d’enregistrer 174 000 nouveaux comptes Coinbase.
Dans une déclaration envoyée par e-mail partagée avec BreachTrace, Coinbase a déclaré qu’il prend « des mesures de sécurité étendues pour garantir que notre plate-forme et nos comptes clients restent aussi sûrs que possible ». Voici le reste de leur déclaration :
« Comme toutes les principales plateformes en ligne, Coinbase voit régulièrement des tentatives d’attaques automatisées. Coinbase est capable de neutraliser automatiquement l’écrasante majorité de ces attaques, en utilisant un mélange de modèles d’apprentissage automatique internes et de partenariats avec les principaux fournisseurs de détection de robots et de prévention des abus. Nous ajustons continuellement ces modèles pour bloquer les nouvelles techniques au fur et à mesure que nous les découvrons. Les équipes Threat Intelligence et Trust & Safety de Coinbase travaillent également pour surveiller les nouvelles techniques d’abus automatisés, développer et appliquer des mesures d’atténuation, et poursuivre de manière agressive les suppressions contre les infrastructures malveillantes. Nous reconnaissons que les attaquants (et les techniques d’attaque) continueront d’évoluer, c’est pourquoi nous adoptons une approche à plusieurs niveaux pour lutter contre les abus automatisés.
Le mois dernier, Coinbase divulgué que des pirates malveillants ont volé la crypto-monnaie de 6 000 clients après avoir utilisé une vulnérabilité pour contourner la fonction de sécurité d’authentification multifacteur SMS de l’entreprise.
« Pour mener l’attaque, Coinbase affirme que les attaquants devaient connaître l’adresse e-mail, le mot de passe et le numéro de téléphone du client associés à leur compte Coinbase et avoir accès au compte de messagerie de la victime », a déclaré Bleeping Computer. Laurent Abrams a écrit. « Bien que l’on ne sache pas comment les acteurs de la menace ont eu accès à ces informations, Coinbase pense que c’est par le biais de campagnes de phishing ciblant les clients de Coinbase pour voler les informations d’identification de compte, qui sont devenues courantes. »
Ce schéma de phishing est un autre exemple de la façon dont les escrocs proposent des méthodes de plus en plus ingénieuses pour contourner les options d’authentification multi-facteurs populaires, telles que les mots de passe à usage unique. Le mois dernier, BreachTrace a mis en évidence la recherche de plusieurs nouveaux services basés sur des robots basés sur Telegram qui permettent aux escrocs d’hameçonner relativement facilement les OTP des cibles à l’aide d’appels téléphoniques et de SMS automatisés. Ces services d’hameçonnage OTP supposent tous que le client possède déjà les identifiants de connexion de la cible. par certains moyens – comme par le biais d’un site de phishing comme celui examiné dans cette histoire.
Les lecteurs avertis ici le savent sans doute déjà, mais pour trouver le véritable domaine référencé dans un lien, regardez à droite de « http(s):// » jusqu’à ce que vous rencontriez la première barre oblique (/). Le domaine directement à gauche de cette première barre oblique est la véritable destination ; tout ce qui précède le deuxième point à gauche de cette première barre oblique est un sous-domaine et doit être ignoré pour déterminer le véritable nom de domaine.
Dans le domaine du phishing en cause ici — coinbase.com.password-reset[.]com – Réinitialisation du mot de passe[.]com est le domaine de destination, et « coinbase.com » n’est qu’un sous-domaine arbitraire de la réinitialisation du mot de passe[.]com. Cependant, lorsqu’ils sont visualisés sur un appareil mobile, de nombreux visiteurs d’un tel domaine peuvent ne voir que la partie sous-domaine de l’URL dans la barre d’adresse de leur navigateur mobile.
Le meilleur conseil pour éviter les escroqueries par hameçonnage est d’éviter de cliquer sur des liens qui arrivent spontanément dans des e-mails, des SMS ou d’autres médias. La plupart des escroqueries par hameçonnage invoquent un élément temporel qui avertit des conséquences désastreuses si vous ne répondez pas ou n’agissez pas rapidement. Si vous ne savez pas si le message est légitime, respirez profondément et visitez le site ou le service en question manuellement – idéalement, en utilisant un signet du navigateur afin d’éviter les sites potentiels de typosquattage.
De plus, ne fournissez jamais d’informations en réponse à un appel téléphonique non sollicité. Peu importe qui prétend appeler : si vous n’êtes pas à l’origine du contact, raccrochez. Ne les mettez pas en attente pendant que vous appelez votre banque ; les escrocs peuvent également contourner cela. Raccrochez. Ensuite, vous pouvez appeler votre banque ou tout autre endroit dont vous avez besoin.
Au fait, à quand remonte la dernière fois que vous avez passé en revue vos paramètres et options multi-facteurs sur les différents sites Web auxquels ont été confiées vos informations personnelles et financières les plus précieuses ? Cela vaut peut-être la peine de visiter 2fa.répertoire (anciennement twofactorauth[.]org) pour un contrôle.