• Ekspertowi ds. bezpieczeństwa udało się przechwycić środki, które zostały ukradzione.
  • Ofiara oszustwa otrzymała z powrotem 4000 dolarów w krypto przez dobrego samarytanina.
  • Atak pokazuje poziom zaawansowania, którego nie widać w wielu próbach phishingu, ale nie udał się przez słabość w kodzie.
Wyobraź sobie, że stresujesz się atakiem phishingowym, po którym straciłeś znaczną część oszczędności w krypto – tylko po to, by odkryć, że pewnien dobry samarytanin zwrócił Ci krypto z dobroci swego serca.

Może to zabrzmieć nierealistycznie, ale takie właśnie doświadczenie miała ostatnia ofiara oszustwa phishingowego. Twitter użytkownik Harv (@punk_cipher) niedawno tweetował, że phishingowi oszuści opróżnili jego aplikację Trust Wallet.
Później tego samego dnia, badacz bezpieczeństwa Harry Denley poinformował ich, że udało mu się przechwycić napastników i zabezpieczyć około połowy ze skradzionych walut cyfrowych.

10.000$ ukradzionych z Trust Wallet w trakcie oszustwa phishingowego

Mimo, że inni mogli czuć się zbyt zażenowani, aby zrobić “coming out” Harv ujawnił oszustwo za pośrednictwem Twittera na początku 28 czerwca. Z perspektywy czasu, na pewno jest zadowolony, że to zrobił.
Denley, ekspert ds. bezpieczeństwa antywłamaniowego, ujawnił, że aplikacja Harv’a Trust Wallet została zhakowana i opróżniona. Zrozpaczony Harv wyjaśnił, że stracił około 10.000 dolarów w kryptorej walucie. Dodał ze smutną twarzą emoji:

“Już po mnie.”

Niespełna dwie godziny po oryginalnym tweecie Denley odpowiedział nieoczekiwanie dobrą wiadomością. Denley poinstruował Harv’a, by napisał do niego wiadomość, ponieważ udało mu się odzyskać około 4000 dolarów skradzionych funduszy.
Denley obiecał ujawnić, jak udało mu się odzyskać te fundusze 28 czerwca. I właśnie to zrobił w opublikowanym w poniedziałek poście Medium.

Oszukiwanie oszusta: Jak Denley odzyskał 4 tys. dolarów w ETH

Nazywając to “specjalnym zdarzeniem”, Denley ujawnił, że ofiara w tym przykładzie zainstalowała złośliwą wersję aplikacji Trust Wallet. Ekspert od kryptografii zauważa, że ten przypadek phishingu był nieco inny niż te, które nękały branżę krypto od lat.
Podrobiona wersja oprogramowania była w rzeczywistości wymieniona w oficjalnym sklepie Google Play. Zrzuty ekranu ze sklepu z aplikacjami pokazują, że użytkownicy przejrzeli Trust Wallet ponad 600 razy i ocenili go jako godny szacunku czyli na trzy-i-pół gwiazdki.
Wyższy poziom zaawansowania jest tutaj nieobecny zresztą jak w większości oszustw phishingowych. Złośliwe APK-y, takie jak te, są zazwyczaj hostowane na stronach internetowych innych firm. Denley uruchomił aplikację w środowisku piaskownicy i zdekompilował ją. Następnie odkrył, że złośliwa aplikacja załadowała WebView, zachęcając użytkowników do wprowadzenia swojego klucza, aby odzyskać portfel.
Była to oficjalna aplikacja, którą można pobrać z legalnego źródła – łatwo więc zrozumieć, dlaczego ofiara wpadła w pułapkę oszustów.

Szlak Kluczy

Oczywiście, wprowadzenie klucza w oknie popup WebView nie przywróciło środków do portfela. W rzeczywistości spowodowało to wyświetlenie komunikatu o błędzie przy jednoczesnym wysłaniu danych wejściowych użytkownika do skryptu po stronie serwera.
“Kod Soddy”, jak opisuje to Denley, oznaczał, że słaba konfiguracja z domeną atakującego ujawniła jego rejestr błędów za pomocą Telegramu. Denley był w stanie wymusić błąd w aplikacji do wysyłania wiadomości poprzez spamowanie jej wiadomościami. Po złamaniu kluczy API bota Telegramu, zalał on interfejs programu aplikacyjnego (API) Telegramu.
Spowodowało to, że program wysyłał wszystkie prywatne wiadomości z czatu oszustów bezpośrednio do Denleya za pośrednictwem dziennika błędów. Następnie ustawił niestandardową “zmiotkę” do opróżniania zawartości portfeli, które zostały skradzione za pomocą przechwyconej frazy seed. Robił to w 180 sekundowych odstępach.
Po kilku kolejnych poprawkach Denley był w stanie manipulować własnym botem napastników, aby zgłaszać prywatne rozmowy członków kanału Telegram. Odkrył identyfikator telegramu atakującego użytkownika, który posługuje się pseudonimem “George.” Wszyscy oszuści mówili po turecku.

Zamiatanie zawartości portfela

Kontratak Denleya nie został wykryty przez około 15 godzin między 28 a 29 czerwca. Ostatecznie, oszuści zauważyli zalew wiadomości spamujących ich czaty.
Podobno zmodyfikowali dziennik błędów i usunęli bota telegramowego. Denley uważa, że oszuści będą mieli inne boty, ale w międzyczasie jest zaangażowany w spamowanie fałszywych prywatnych kluczy do logów hakerów. To powinno dać ofiarom trochę czasu na zabezpieczenie ich aktywów kryptograficznych.

Śledzenie ofiar

Z pełną informacją o transakcji, Denley kontynuował przechwytywanie kilku innych prób drenażu portfeli. Udało mu się znaleźć adresy zainfekowanych portfeli, a następnie przystąpić do ponownego połączenia użytkowników z ich kryptowalutami.
Początkowo przeczesywał Twittera, aby znaleźć adres największej ofiary, co ostatecznie doprowadziło go do Harva. Po rozpoczęciu rozmowy Denley poprosił, aby podpisali konkretną wiadomość swoimi kluczami. Pozwoliło to ekspertowi na zwrot środków, z zaufaniem, że trafiają one do potwierdzonego właściciela.

Harv odpowiedział z zachwytem w poniedziałek:

Bycie bezpiecznym przed coraz bardziej wyrafinowanymi atakami

Ataki typu phishing zazwyczaj mają duże “czerwone flagi”, które powstrzymują wszystkich oprócz najbardziej wrażliwych użytkowników przed padnięciem ofiarą. Na przykład, BeInCrypto pisało w styczniu o oszustach podszywających się pod Ledger, czyli portfel sprzętowy. Duże kanały YouTube pod nazwami “Ledger” i “Ledger Nano” promowały skompromitowany portfel internetowy oferujący darmowe fundusze.
Pierwszą czerwoną flagą, w tym przypadku, jest nieprawdopodobieństwo, że Ledger będzie promował nowy produkt wyłącznie za pośrednictwem YouTube. Firmy zazwyczaj wydają komunikaty prasowe opisujące ich premiery. Nietrudno jest sprawdzić w archiwum Ledger’a informacje na ten temat.
Drugą czerwoną flagą jest numer Bitcoin’a, który wygrał ofertę tego oszustwa “szczęśliwego” zwycięzcy. Ledger informował o filmach na Twitterze pokazujących do 2,000 BTC w bonusach. Dlaczego u licha Ledger miałby rozdawać ponad 18 milionów dolarów tylko po to, żeby uruchomić portfel internetowy?
Z drugiej strony, oszustwo phishingowe Trust Wallet jest o wiele bardziej subtelne. Złośliwa aplikacja pochodzi z oficjalnego sklepu Google Play. Posiada ona recenzje, pozytywną ocenę i nosi wszystkie te same oznaczenia marki, co oficjalne wydanie apki.

Zrób swoje własne badania (Do your own research)

Ponieważ apka była zamaskowana jako oficjalny portfel, prośba o wpisanie seed phrase nie jest wcale czerwoną flagą. Większość aplikacji portfelowych posiada opcje ładowania istniejącego portfela z klucza prywatnego, frazy seed lub utworzenia nowego adresu przy uruchomieniu.

Chociaż Trust Wallet wykonał doskonałą robotę podszywając się pod inne osoby, nadal można się uchronić przed takimi oszustwami. Najlepszym sposobem, aby to zrobić, jest zawsze udać się do źródła wszelkich plików do pobrania – oficjalnej strony internetowej lub GitHub projektu.

Oficjalna strona internetowa Trust Wallet nie kieruje użytkowników do pobierania bezpośrednio z Google Play lub sklepów Apple. Jednakże, to również linki do oficjalnego produktu, który ma wiele więcej recenzji, plików do pobrania i wyższą ocenę.
Niektóre z powyższych ofiar mogły być świadome, że Trust Wallet jest obsługiwany w Google Play i myślały, że zaoszczędzą trochę czasu, kierując się bezpośrednio tam. Niestety, odrobina wygody prawie zawsze skutkuje spadkiem bezpieczeństwa.
W przypadku dużych ilości gotówki, jak w przypadku Harv’a, bezpieczeństwo powinno zawsze mieć pierwszeństwo przed wygodą.

BeInCrypto Staff

The opinion of BeInCrypto staff in a single voice.

Obserwuj autora

Chcesz wiedzieć więcej?

Interesuje Cię trading na kryptowalutach? Dołącz do polskiego kanału BeInCrypto na Telegramie i uzyskaj darmowy dostęp do krótkich analiz technicznych bitcoina oraz innych kryptowalut.

Ta strona używa plików cookie.
Kliknij tutaj, aby zaakceptować użycie tych plików cookie. Zobacz naszą politykę plików cookie

Dyskutujemy na naszym kanale Telegram

Dołącz!

Dyskutujemy na naszym kanale Telegram

Dołącz!