23/01/2018

Phishing z krypto walutami w tle: jak kradnie się bitcoiny

Zagrożenia

Niedawne zawirowania ceny bitcoinów i innych kryptowalut sprawiły, że temat ten jest dosyć popularny. Jeszcze rok temu kryptowaluty były domeną geeków; teraz mówi się o nich w każdym zakątku internetu, a nawet w radiu i telewizji. Nie ma dnia bez najnowszych doniesień z rynku kryptowalut.

Związane z tym szanse szybko zwietrzyli również oszuści: kryptowaluty stały się tematem przewodnim oszustwa zwanego phishingiem, w którym tworzy się fałszywe strony w celu kradzieży danych autoryzujących niczego niepodejrzewających użytkowników.

Prosty kryptophishing

Najprostsza wersja phishingu dotyczącego kryptowalut, zwanego także kryptophishingiem, wykorzystuje stary, sprawdzony model wysyłania wiadomości spamowych. W tym przypadku wiadomości pochodzą teoretycznie od dostawców usług związanych z kryptowalutami — portfeli internetowych, kantorów itp.

Wiadomości te są znacznie bardziej szczegółowe i wyszukane niż tradycyjne wiadomości phishingowe. Na przykład mogą wyglądać jak alert bezpieczeństwa informujący, że ktoś próbował zalogować się na Twoje konto z konkretnego adresu i przez wskazaną przeglądarkę — aby sprawdzić, czy wszystko jest w porządku, musisz tylko kliknąć łącze. Jeśli potencjalna ofiara zaznaczyła opcję wysyłania takich wiadomości w internetowym kryptoportfelu, nie zauważy nic podejrzanego.

Inna wiadomość może na przykład wyglądać jak zaproszenie do wzięcia udziału w ankiecie na temat wydarzenia związanego z kryptowalutami, w której za swoją opinię można zdobyć hojną nagrodę (np. 0,005 bitcoina, czyli aktualnie około 50–70 dolarów). Kliknij, aby rozpocząć – zachęcają nadawcy wiadomości.

Efekt jest zawsze taki sam: ofiara jest kierowana na fałszywą wersję strony związanej z krypto walutami, gdzie ma wprowadzić swoje dane związane z portfelem elektronicznym. Większość popularnych stron będących portfelami elektronicznymi dla bitcoinów ma prosty wygląd, co ułatwia przestępcom tworzenie ich przekonujących imitacji.

Trzy różne strony phishingowe, które wyglądają jak serwis blockchain.info

Stawka jest dosyć wysoka: przechwycenie e-portfela, który zawiera kilka kilkadziesiąt bitcoinów, jest znacznie bardziej opłacalne niż kradzież konta pocztowego. Elektroniczne portfele są dla przestępców szybką i bezpośrednią drogą do wymiernych korzyści, wobec czego znacznie bardziej przykładają się oni podczas tworzenia wiadomości phishingowych — tak aby wyglądały na bardziej wiarygodne.

Pomysłowy kryptophishing

Niedawno odkryto bardziej skomplikowany schemat kryptophishingu, w którym używane są wybrane funkcje serwisu Facebook:

1. Oszuści znajdują społeczność skupioną wokół tematu kryptowalut i tworzą na Facebooku stronę o takiej samej nazwie i wyglądzie jak strona oficjalna. Adres fałszywej strony jest łudząco podobny do prawdziwej — różni się tylko jedną literą. Nie jest łatwo dostrzec różnicę, ponieważ wspomniana sieć społecznościowe umożliwia ustawienie dowolnej nazwy dla swojej organizacji, a nazwy te są zawsze wyświetlane chętniej niż prawdziwy adres.

Facebook: oryginalna strona o kryptowalutach i fałszywa

Następnie oszuści wysyłają wiadomości phishingowe do członków prawdziwej społeczności z fałszywej strony. Wiadomości osobiste nie są tu adekwatne z różnych powodów (na przykład nie mogą one zostać wysłane do użytkownika w imieniu strony).

2. Oszuści wykorzystują tu interesujący trik: udostępniają zdjęcie profilowe ofiary na swojej stronie i oznaczają ją.

Cała sztuczka polega na tym, że zdjęcie profilowe zawsze jest widoczne dla każdego — i nie można nikogo powstrzymać przed udostępnianiem go. Podobnie nie ma możliwości zablokowania bycia oznaczanym na Facebooku — więc sztuczka jest skuteczna nawet wobec ludzi, którzy są świadomi w kwestii prywatności. Jednym sposobem, aby uchronić się przed tą aktywnością, jest wyłączenie powiadomień o oznaczeniach dokonanych przez nieznanych użytkowników, strony i społeczności. 3. Najbardziej interesujące jest to, co oszuści umieszczają w tekście wiadomości użytej do oznaczania swojej ofiary. Na przykład wiadomość może informować, że użytkownik jest jednym z 100 szczęśliwców, którzy wygrali 20,72327239 (tak, liczba jest taka precyzyjna) jednostek kryptowaluty za swoją lojalność wobec platformy. I oczywiście jest też link do odbioru monet.

Warto zauważyć, że wiadomość zawiera szczegółowe informacje odnośnie warunków odebrania nagrody (np. minimalna liczba transakcji na platformie). W połączeniu z bardzo dokładną i niezbyt wygórowaną kwotą (ok. 100–200 dolarów) okoliczność wydaje się prawdopodobna.

Jak chronić się przed kryptophishingiem?

Ostatnio rynek kryptowalut może przypominać magiczne drzewo z pieniędzmi, lecz prawda jest taka, że serwisy z kryptowalutami nie są organizacjami charytatywnymi i nie rozdają pieniędzy dla zabawy. Jeśli ktoś obiecuje Ci darmową kryptowalutę, prawdopodobnie jesteś potencjalną ofiarą.

  1. Zawsze ostrożnie sprawdzaj każde łącze. Lepiej jest nie klikać w ogóle odnośników w wiadomościach pochodzących z usług internetowych — zamiast tego warto wprowadzać adres w pasku przeglądarki.
  2. Starannie dostosuj swoje ustawienia prywatności, aby unikać takich oszustw na Facebooku. Dobrym pomysłem może być również skonfigurowanie ustawień związanych z powiadomieniami na Facebooku.
  3. Korzystaj z produktu antywirusowego wyposażonego w specjalną ochronę przed phishingiem — na przykład z naszego produktu Kaspersky Internet Security.