Cryptocurrencies

多要素認証をバイパスし、Coinbase、MetaMask、Crypto.com、および KuCoin のアカウントにアクセスして暗号通貨を盗むために、暗号を盗むフィッシング キャンペーンが進行中です。

脅威アクターは、Microsoft Azure Web Apps サービスを悪用してフィッシング サイトのネットワークをホストし、偽のトランザクション確認要求や疑わしいアクティビティの検出になりすましたフィッシング メッセージを介して被害者を誘い込みます。

たとえば、攻撃で確認されたフィッシング メールの 1 つは、Coinbase から送信されたふりをしており、疑わしいアクティビティのためにアカウントをロックしたと述べています。

Coinbase を装ったフィッシングメール
Coinbase を装ったフィッシングメール
出典:PIXM

ターゲットがフィッシング サイトにアクセスすると、「カスタマー サポート」用と思われるチャット ウィンドウが表示されます。このウィンドウは、訪問者を複数段階の詐欺プロセスに誘導する詐欺師によって制御されます。

PIXM は、脅威グループが Coinbase のみを標的とした 2021 年以来、このキャンペーンを追跡してきました。最近、PIXM のアナリストは、キャンペーンのターゲット範囲が拡張され、MetaMask、Crypto.com、および KuCoin が含まれていることに気付きました。

2FA のバイパス

偽の暗号交換フィッシング サイトでの攻撃の第 1 段階には、偽のログイン フォームとそれに続く 2 要素認証プロンプトが含まれます。

この段階で入力された認証情報に関係なく、攻撃者によって盗まれます。次にページは、アカウントへのアクセスに必要な 2FA コードを要求するプロンプトに進みます。

フィッシングサイトの2FAステップ
フィッシングサイトの2FAステップ
出典:PIXM

攻撃者は入力された資格情報を正規の Web サイトで試し、2FA コードを被害者に送信します。被害者は有効な 2FA をフィッシング サイトに入力します。

次に、攻撃者は、タイマーが切れる前に行動する限り、入力された 2FA コードを使用して被害者のアカウントにログインしようとします。

MetaMask フィッシング攻撃は、資格情報や 2FA コードではなく、復元フレーズを標的にしていることに注意してください。

詐欺師とチャット

2FA コードが機能するかどうかに関係なく、詐欺師は次の攻撃段階、つまりオンスクリーン チャット サポートを起動することをトリガーすると研究者は述べています。

これは、疑わしいアクティビティのためにアカウントが停止されたことを示す偽のエラー メッセージを表示し、問題を解決するためにサポートに連絡するよう訪問者に求めることによって行われます。

偽のログイン エラーの生成
偽のログイン エラーの生成
出典:PIXM

このサポート チャットでは、攻撃者がアカウントにログインするために別の資格情報、回復フレーズ、または 2FA コードが必要な場合に備えて、攻撃者は標的の被害者との会話を開始します。

「ユーザー名、パスワード、および 2 要素認証コードをチャットで直接入力するようユーザーに促します」と、新しいPIXM レポートは説明しています。

「その後、犯罪者はこれを自分のマシンのブラウザに直接持ち込んで、ユーザー アカウントに再びアクセスしようとします。」

侵害に成功したアカウントの場合、被害者は、詐欺師がウォレットを空にしている間に送金を確認する必要がある場合に備えて、引き続きカスタマー サポートに関与しています。

ただし、サポート チャットで侵害できないアカウントについては、攻撃者は別の方法に切り替えて、デバイスが仮想通貨プラットフォームにとって「信頼できる」ものとして認証されます。

リモートトリック

認証済みデバイスの障害を克服するために、攻撃者は被害者に「TeamViewer」リモート アクセス アプリをダウンロードしてインストールするように仕向けます。

次に、詐欺師は被害者に暗号通貨のウォレットまたは取引所のアカウントにログインするように求めます。その間、攻撃者はパスワード フィールドにランダムな文字を追加して、ログインを失敗させます。

次に、攻撃者は被害者に TeamViewer チャットにパスワードを貼り付けるように要求し、パスワード (ランダムな文字を除いたもの) を使用してデバイスにログインし、被害者に送信されたデバイス確認リンクを取得して、デバイスを信頼できるものとして認証します。

デバイス認証リンクの盗用
デバイス認証リンクの盗用
出典:PIXM

アカウントやウォレットにアクセスできるようになると、攻撃者はすべての資金を流出させますが、被害者はサポート チャットに参加し続けます。

このような攻撃にだまされないようにするには、送信者のメール アドレスと送信される URL に常に注意を払うことが不可欠です。

これらの URL が仮想通貨プラットフォームと一致しない場合は、直ちにその電子メールを疑わしいものとして扱い、削除する必要があります。

残念ながら、これらの詐欺に引っかかった場合、ウォレットから送金された資金を仮想通貨交換所が回収することはできません。