4
Эксперт по майнингу биткоина и директор по маркетингу Braiins Кристиан Чепчар сообщил о резком росте целевых атак на криптосообщество. Его поддержали и другие аналитики. По словам специалиста, за последний месяц более 10 его знакомых потеряли доступ к аккаунтам и своим средствам, несмотря на включенную двухфакторную аутентификацию. Все пострадавшие использовали стандартные меры безопасности. Однако этого оказалось недостаточно против новой схемы социальной инженерии.
По словам Чепчара, атака начинается с обращения от знакомого контакта. Пользователю предлагают созвониться и обсудить рабочие или инвестиционные вопросы. На самом деле аккаунт отправителя уже взломан. Таким образом мошенники используют доверие внутри профессионального сообщества. Жертве направляют приглашение в календаре. Затем перед самым созвоном присылают ссылку на видеоконференцию в Zoom.
Она визуально практически не отличается от оригинальной. Разница заключается в подмене домена и поддомена, что сложно заметить при беглом просмотре. Даже опытные пользователи могут не распознать подделку. Особенно если сообщение приходит от знакомого человека. При переходе по ссылке юзер устанавливает фальшивое приложение Zoom. Интерфейс полностью копирует официальный клиент и не вызывает подозрений.
После подключения к звонку жертва действительно видит знакомого человека на экране. Как пояснил Чепчар, это не дипфейк, а реальная запись с предыдущей атаки. Благодаря этому создается полное ощущение реального общения. Уровень доверия к происходящему резко возрастает.
Далее фальшивое приложение сообщает о проблемах со звуком и предлагает обновить программу. После якобы неудачного апдейта пользователю показывают инструкцию по устранению неполадок через командную строку. Жертве предлагают скопировать и вставить код. По словам эксперта, на этом этапе контроль над компьютером полностью переходит к злоумышленникам. Вредоносный код открывает удаленный доступ к системе.
Установленное ПО работает быстро и практически незаметно. В течение нескольких секунд оно сканирует компьютер на наличие криптокошельков и получает к ним доступ. Параллельно программа крадет сессионные cookies из мессенджеров и браузеров. Именно это позволяет обходить двухфакторную защиту. Получив токены сессии, злоумышленники входят в аккаунты без пароля и подтверждений.
block-chain24.com