網絡釣魚者在 Coinbase 帳戶搶劫中游過 2FA

攻擊者正在欺騙廣泛使用的加密貨幣交易所來欺騙用戶登錄，以便他們可以竊取他們的憑據并最終竊取他們的資金。

在最近觀察到的旨在接管 Coinbase 帳戶的網絡釣魚活動中，威脅參與者正在繞過雙因素身份驗證 (2FA) 并使用其他巧妙的規避策略，以騙取用戶的加密貨幣余額。

PIXM Software的研究人員發現，攻擊者正在使用欺騙流行的加密貨幣交易所的電子郵件來誘騙用戶登錄他們的賬戶，以便他們可以訪問這些賬戶并竊取受害者的資金。

PIXM 威脅研究團隊在一篇博文中解釋說：“他們通常會通過成百上千筆交易以自動化方式通過‘燃燒器’賬戶網絡分配這些資金，以努力從目標錢包中混淆原始錢包。”周四發布。 Coinbase 是一個公開交易的加密貨幣交易平臺，自 2012 年以來一直存在。它可以說是最主流的加密貨幣交易所之一，擁有超過 8900 萬用戶，因此是網絡犯罪分子的一個有吸引力的目標。

巧妙的逃避戰術

研究人員寫道，攻擊者采用了一系列策略來避免檢測，包括一個研究人員稱之為“短命域”——攻擊中使用的域“在極短的時間內保持活躍”——這與典型的網絡釣魚行為有所不同。

“我們估計大部分網頁在互聯網上的可用時間不到兩個小時”，在某些情況下，一旦 PIXM 研究人員收到攻擊警報，他們甚至無法執行所需的取證。

研究人員指出，這與上下文感知和 2 因素中繼等其他技術一起，允許攻擊者“防止窺探者深入他們的網絡釣魚基礎設施”。

根據 PIXM 的說法，上下文感知尤其是一種隱秘的策略，因為與短命域一樣，安全研究人員很難通過混淆網絡釣魚頁面進行事后跟進。

這種策略允許攻擊者知道他們預計他們的一個或多個目標將從其連接的 IP、CIDR 范圍或地理位置。研究人員說，然后他們可以在網絡釣魚頁面上創建類似訪問控制列表 (ACL) 的內容，以限制僅允許來自其預期目標的 IP、范圍或區域的連接。

研究人員寫道：“即使在網站上線的幾個小時內檢測到或報告了其中一個頁面，研究人員也需要欺騙頁面上的限制才能訪問該網站。”

用于帳戶接管的網絡釣魚

這些攻擊始于攻擊者使用惡意電子郵件針對 Coinbase 用戶，該電子郵件欺騙了貨幣兌換，因此潛在的受害者認為這是一條合法的消息。

研究人員表示，這封電子郵件使用各種理由敦促用戶登錄他或她的賬戶，聲稱它要么因可疑活動而被鎖定，要么交易需要確認。

與網絡釣魚活動一樣，如果用戶遵循消息指令，他們會到達一個虛假的登錄頁面并被提示輸入他們的憑據。如果發生這種情況，攻擊者會實時接收憑據，并使用它們登錄合法的 Coinbase 網站。

研究人員說，這是威脅參與者在攻擊結構中使用 2 因素中繼來繞過Coinbase 平臺中內置的 MFA 的時候。

攻擊者的行為促使 Coinbase 向受害者發送 2FA 代碼，受害者認為該通知是通過在虛假登錄頁面中輸入憑據來提示的。一旦用戶將 2FA 代碼輸入到虛假網站，攻擊者立即接收并登錄合法賬戶，從而獲得賬戶控制權。

將資金轉移給威脅行為者

一旦威脅者可以訪問該帳戶，他或她就會通過大量交易將用戶的資金轉移到上述帳戶網絡，以逃避檢測或引起懷疑。

“這些資金也經常通過不受監管的非法在線加密服務盜用，例如加密貨幣賭場、博彩應用程序和非法在線市場，”研究人員補充說。

同時，此時不知情的受害者會看到一條消息，通知他們他或她的帳戶已被鎖定或限制——這與引發整個惡意交易的初始網絡釣魚電子郵件不同。系統會提示他們與客戶服務聊天以解決問題，并且頁面右上角會出現一個聊天框供他們執行此操作。

該提示實際上是攻擊的第二階段，其中威脅行為者冒充 Coinbase 員工幫助該人恢復他或她的帳戶，要求提供各種個人和帳戶信息。然而，研究人員說，實際上，攻擊者正在爭取時間，以便他們能夠在受害者變得可疑之前完成資??金轉移。

他們寫道：“他們正在使用這個聊天會話來讓目標在轉移資金時保持忙碌和分心（從他們可能從 Coinbase 收到的潛在電子郵件或文本中轉移資金）。”

他們說，一旦資金轉移完成，攻擊者將突然關閉聊天會話并關閉網絡釣魚頁面，讓 Coinbase 用戶感到困惑并很快意識到他或她已被完全欺騙。