在最近观察到的旨在接管Coinbase帐户的网络钓鱼活动中,威胁行为者正在绕过双因素身份验证(2FA)并使用其他巧妙的逃避策略,以欺骗用户的加密货币余额。PIXMSoftware的研究人员发现,攻击者正在使用来自流行的加密货币交易所的电子邮件来诱骗用户登录他们的账户,以便他们能够访问这些账户并窃取他们的资金。PIXM威胁研究团队在周四发布的博客文章中解释说:“他们通常通过数百或数千笔交易,通过‘Burner’账户网络自动分配这些资金,以混淆原始钱包和目标钱包。”Coinbase是一个公开交易的加密货币交易平台,自2012年以来一直存在。它可以说是最主流的加密货币交易所之一,拥有超过8900万用户,这使其成为网络犯罪分子非常有吸引力的目标。巧妙的规避策略研究人员写道,攻击者采用了一系列策略来避免被发现,包括研究人员称之为“短期域”的策略,在这种策略中,攻击中使用的域“在极短的时间内出现”。保持活跃一段时间”,这与典型的网络钓鱼活动不同。“我们猜测大多数页面在互联网上可用的时间不到两个小时,”因此在某些情况下,即使PIXM研究人员被警告攻击时,他们无法执行所需的取证操作。研究人员指出,在上下文感知和双因素中继等其他技术中,这将使攻击者能够“防止窥探者深入他们的网络钓鱼基础设施”。PIXM,上下文感知是一种特别隐蔽的策略,因为与临时域一样,安全研究人员很难通过混淆网络钓鱼页面来跟踪事实。这种策略允许攻击者知道IP、CIDR范围或区域,从而可以预测位置他们的一个或多个目标将连接。然后他们可以在网络钓鱼页面上创建类似访问控制列表(ACL)的内容,以限制仅允许来自IP、范围o的连接研究人员说,其预定目标的r区域。研究人员写道:“即使其中一个页面在网站上线后的数小时内被检测到或报告,研究人员也需要对该页面的限制撒谎才能访问该网站。”用于账户接管的网络钓鱼攻击开始时,Actors向Coinbase用户发送恶意电子邮件,谎称正在执行货币兑换,诱使潜在受害者认为这是合法新闻。研究人员表示,这封电子邮件以各种理由敦促用户登录他们的账户,声称账户因可疑活动而被锁定,或者有交易需要确认。与网络钓鱼活动一样,如果用户按照消息说明进行操作,他们将到达一个虚假的登录页面并被提示输入他们的凭据。如果发生这种情况,攻击者将实时收到凭证并使用它们登录合法的Coinbase网站。研究人员说,当威胁行为者在攻击结构中使用双因素中继绕过Coinbase平台内置的MFA时,就会发生这种情况。攻击者的行为促使Coinbase向受害者发送2FA代码,受害者认为通知是通过将他们的凭据输入到虚假登录页面来提示的。一旦用户将2FA码输入虚假网站,攻击者立即收到并登录合法账户,从而获得账户控制权。向威胁行为者转移资金一旦威胁行为者获得账户访问权限,他或她就会通过大量交易将用户资金转移到上述账户网络,以逃避检测或避免引起怀疑。研究人员补充说:“这些资金还经常通过不受监管的非法在线加密服务被挪用,例如加密货币赌场、投注应用程序和非法在线市场。”此时不知情的受害者会看到一条消息,通知他们他们的帐户已被锁定或限制——这与引发整个恶意交易的最初网络钓鱼电子邮件不同。系统会提示他们与客户服务聊天以解决问题,并且页面右上角会出现一个聊天框供他们这样做。提示实际上是攻击的第二阶段,威胁行为者冒充Coinbase员工帮助用户恢复账户,询问各种个人和账户信息。然而,研究人员表示,实际上,攻击者是在争取时间,这样他们就可以在受害者产生怀疑之前完成资??金转移。他们写道:“他们正在使用这个聊天会话让受害者在资金转移时保持忙碌和分心(受害者可能会在资金转移时收到来自Coinbase的潜在电子邮件或短信)。”他们说,一旦资金转账完成,攻击者就会突然关闭聊天会话并关闭钓鱼页面,这让Coinbase用户感到困惑,并很快意识到他们被骗了。本文翻译自:https://threatpost.com/phishers-2fa-coinbase/180356/如有转载请注明原文地址。
