Пользователи пакета программ Microsoft 365 стали целью новой волны фишинговых атак мошенников, которые выдают себя за представителей крупнейшей американской криптовалютной биржи Coinbase. По данным недавнего отчета платформы BeepingComputer, криптоэнтузиастам рассылают «новые» условия обслуживания, которые те должны «принять». Хакеры просят пользователей авторизоваться в модифицированной версии приложения Office 365, которое затем получает доступ к электронной переписки жертвы.
Отметим, что мошенники становятся хитрее с каждым днём. Накануне мы узнали, что они начали рассылать небольшие объёмы криптовалюты на случайные кошельки и рассказывали в деталях транзакциях о якобы выигрыше крупной суммы. В итоге от жертвы требовалось зайти на поддельный сайт — а это всегда плохая идея. Обычно в подобных сценариях можно подхватить вирус или что-то подобное.
При этом хакеры также используют старую тактику обмана новых пользователей криптовалют, в которой обещают удвоить объём отправленных монет. То есть банально они просят прислать 0.1 ETH и "гарантируют" получение 0.2 эфира. Кстати, из-за большой популярности данной схемы мошенники в том числе демпингуют цены. На выходных мы столкнулись со скам-клоном проекта Penguin, разработчики которого "разыгрывали" эквивалент 150 долларов в криптовалюте. В итоге они попросили подтвердить свой кошелёк с помощью перевода эквивалента одного доллара. Конечно же, некоторые повелись на это предложение.
Так выглядит мошенническая транзакция, в которой предлагают перейти на вредоносный сайт. В последнее время эту схему используют с криптовалютой BNB.
Перевод криптовалюты от мошенников
Как хакеры крадут криптовалюты?
После нажатия на кнопку «Прочитать и принять условия обслуживания» пользователя перенаправляют на реальный сайт Microsoft для входа в свою учетную запись. Затем его просят дать доступ для прочтения и изменения электронной почты вредоносному приложению «coinbaseterms.app».
Таким образом хакеры до определенной степени могут завладеть электронной почтой пользователя. Они не могут отправлять новые письма, однако им доступны для просмотра принятые и еще не отправленные письма, то есть черновики. Благодаря подобной атаке хакеры могут обойти двухфакторную аутентификацию (2FA) на некоторых площадках.
Напомним, некоторые биржи позволяют включить 2FA для почты, то есть пользователь получает письмо с кодом, который он должен ввести для авторизации на сайте или подтверждения транзакции. Получив этот код, хакеры без труда могут перехватить контроль над аккаунтом жертвы. А здесь уже можно реально потерять средства.
Office 365 — это экосистема от Microsoft, в которую входят различные приложения и услуги, в том числе и электронная почта
Генеральный директор исследовательской фирмы CipherTrace Дэйв Джеванс рассказал в интервью журналистам Decrypt, что в последнее время все больше злоумышленников представляются известными брендами или платформами для обмана своих жертв. Вот его цитата.
Использование крупных брендов для того, чтобы обманом заставить пользователей выдать учетные данные Office365, замечено все чаще. У брендов по типу Coinbase десятки миллионов пользователей, поэтому широкомасштабные спам-кампании [хакеров] могут быть эффективными.
Эксперт имеет в виду, что кто-то из получателей письма окажется неопытным и попадётся на удочку мошенников. А дальше последним останется только ждать нужного времени для атаки. Отметим, что они частенько действуют ночью — когда жертва спит. Подобную историю из личного опыта можно почитать в отдельном материале.
Однако Джеванс также добавил, что Coinbase не является одним из наиболее часто используемых брендов для этого типа атак. Скорее всего, хакеры просто рассылают электронные письма наугад, даже не целясь конкретно на клиентов Coinbase. Всё же искать пользователей определённой площадки было бы слишком затруднительно. Вот цитата.
Сомнительно, что скомпрометированный список адресов электронной почты от Coinbase используется для получения доступа к учетным записям в сервисе электронной почты. Целевой фишинг больше ориентирован на получение доступа к средствам [криптоинвесторов].
Карта Coinbase
Ещё раз напоминаем вам главное правило цифровой безопасности — ни в коем случае не переходите по подозрительным ссылкам, не скачивайте файлы с неизвестных источников и не вводите свои данные в незнакомых формах. Представители крупных компаний не будут писать вам на почту и просить раскрыть пароли, сид-фразы и прочие чувствительные данные — поэтому подобные просьбы нужно игнорировать. Также внимательно относитесь к приложениям, которые просят дополнительный доступ, и не делайте этого без необходимости.
В целом важно понять, что с учётом наличия мошенников ниша криптовалют является враждебной средой, а значит вас действительно будут пытаться обмануть. А значит лучше лишний раз закрыть глаза на полученное письмо, чем сделать всё в соответствии с его содержимым. Исключениями могут быть разве что просьбы вывести средства на свой кошелёк из-за закрытия биржи — такое действительно случается. Накануне мы получили подобное письмо от платформы BitMesh, которая больше не будет работать.
Так выглядит письмо от BitMesh. Обратите внимание — никаких просьб ввести пароль, отправить монеты на указанный адрес или чего-то подобного.
Письмо от BitMesh о закрытии биржи
Ещё больше интересного ищите в нашем крипточате миллионеров. И по традиции ждём вас в Яндекс Дзене за добавкой материалов.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ИКСЫ УЖЕ БЛИЗКО!
2Bitcoins.ru
Автор: Дмитрий Кузюк