Une attaque de phishing Coinbase à grande échelle se présente comme une migration de portefeuille obligatoire, incitant les destinataires à créer un nouveau portefeuille avec une phrase de récupération pré-générée contrôlée par des attaquants.
Les courriels ont pour sujet « Migrer vers le portefeuille Coinbase » et indiquent que tous les clients doivent passer à des portefeuilles d’auto-garde. L’e-mail fournit également des instructions sur la façon de télécharger le portefeuille Coinbase légitime.
« À partir du 14 mars, Coinbase est en train de passer à des portefeuilles auto-dépositaires. À la suite d’un recours collectif alléguant des titres non enregistrés et des opérations sans licence, le tribunal a demandé aux utilisateurs de gérer leurs propres portefeuilles », lit-on dans l’e-mail de phishing Coinbase.
« Coinbase fonctionnera en tant que courtier enregistré, permettant les achats, mais tous les actifs doivent être transférés vers le portefeuille Coinbase. »
« Votre phrase de récupération unique ci-dessous est votre identité Coinbase. Il donne accès à vos fonds-notez-les et stockez-les en toute sécurité. Importez-le dans le portefeuille Coinbase en saisissant chaque mot suivi d’un spa
L’e-mail prétend provenir de Coinbase mais a une adresse de réponse de [email protected]. Il est également envoyé à partir de l’adresse IP 167.89.33.244, qui est une adresse IP SendGrid qui se résout via DNS en o1.soha.akamai.com.
Comme l’e-mail semble avoir été envoyé directement via SendGrid et ce qui semble être le compte d’Akamai, il passe les contrôles de sécurité des e-mails SPF, DMARC et DKIM, contournant les filtres anti-spam sur de nombreux comptes.
Breachtrace a contacté Akamai pour lui demander si l’un de ses comptes SendGrid avait été compromis et a reçu la déclaration suivante.
« Akamai est au courant de rapports concernant une potentielle escroquerie par hameçonnage ciblant les utilisateurs de Coinbase qui implique un domaine de messagerie Akamai. Nous prenons la sécurité de l’information très au sérieux et enquêtons activement sur l’affaire », a déclaré Akamai à Breachtrace .
« Les escroqueries par hameçonnage restent une cybermenace répandue, et nous exhortons tous les utilisateurs à faire preuve de prudence s’ils reçoivent des courriels non sollicités, en particulier ceux qui demandent des informations personnelles ou de compte. Si vous pensez qu’un e-mail peut être une tentative d’hameçonnage, veuillez le traiter comme tel et éviter de cliquer sur des liens ou de fournir des informations sensibles. »
« Nous travaillons à remédier à la situation et continuerons de surveiller et d’atténuer les risques connexes. En attendant, nous recommandons une vigilance accrue pour aider à protéger vos informations personnelles. »
Une campagne intelligente de crypto phishing
Ce qui distingue cette campagne de phishing, c’est qu’il n’y a aucun lien de phishing présent dans l’e-mail et que tous les liens renvoient à la page de portefeuille légitime de Coinbase.
Au lieu de cela, l’e-mail de phishing comprend une phrase de récupération, qui, selon l’e-mail de phishing, devrait être utilisée pour configurer votre nouveau portefeuille Coinbase.
Les phrases de récupération, également appelées « graines », sont une série de mots qui fonctionnent comme une version lisible par l’homme de la clé privée d’un portefeuille de crypto-monnaie.
Quiconque connaît cette phrase de récupération peut importer le portefeuille sur ses propres appareils, ce qui lui permet de voler toute crypto-monnaie et NFT qui y sont stockés.
Alors que la plupart des escroqueries par hameçonnage de crypto-monnaie tentent de voler votre phrase de récupération, qui est ensuite utilisée par l’attaquant pour voler vos fonds, celle-ci agit à l’envers.
Cet e-mail de phishing est très intelligent, car au lieu de voler votre phrase, ils vous en donnent une qui est déjà connue et contrôlée par l’attaquant.
Une fois qu’un utilisateur a configuré un nouveau portefeuille avec cette phrase et y a transféré des fonds, tous les actifs seront désormais disponibles pour l’auteur de la menace qui pourra ensuite les transférer vers un autre portefeuille qu’il contrôle.
Coinbase est au courant de l’arnaque, pointant Breachtrace vers un message sur X indiquant qu’ils ne récupéreront jamais de phrases aux clients.
« Rappel: méfiez – vous des escroqueries par phrase de récupération », a posté Coinbase sur X.
« Nous sommes au courant de nouveaux courriels d’hameçonnage qui se font passer pour Coinbase et Coinbase Wallet. Nous ne vous enverrons jamais de phrase de récupération, et vous ne devez jamais saisir une phrase de récupération qui vous a été donnée par quelqu’un d’autre. »
Pour tous ceux qui sont tombés dans le piège de cette arnaque, si les fonds sont toujours disponibles sur le portefeuille nouvellement créé, vous devez rapidement les transférer sur le vôtre avant qu’ils ne soient volés par les acteurs de la menace.
Bien que la règle ait toujours été de ne jamais partager votre phrase de récupération avec une autre personne ou un site Web, elle devrait maintenant être étendue pour ne jamais utiliser une récupération partagée avec vous via des e-mails et des sites Web, car ils sont probablement utilisés pour voler votre crypto-monnaie.