Coinbase 釣魚攻擊者如何竊取一次性密碼

最近對 Coinbase 用戶的網絡釣魚行動表明，攻擊者在盜取登錄所需的一次性密碼（OTP）上更聰明了。它還表明，網絡釣魚攻擊者正試圖注冊數百萬個新的 Coinbase 帳戶，以找出與活躍帳戶綁定的電郵地址。Coinbase 是世界第二大加密貨幣交易所，擁有來自 100 多個國家的約 6800 萬名用戶。現已失效的釣魚網站 coinbase.com.password-reset[.]com（網站的默認語言是意大利語）針對的是意大利 Coinbase 用戶。網絡安全公司 Hold Security 的創始人 Alex Holden 認為，這個網站可以說相當成功。

他的團隊設法發現了釣魚網站的部分文件目錄（目錄文件隱藏得很糟糕），其中包括網站的管理頁面。如屏幕截圖所示，在網站下線之前，網絡釣魚攻擊者至少捕獲了 870 組憑據。每當有新受害者在釣魚網站上提交憑據，管理面板都會發出一聲響亮的“叮”——大概是為了提醒在網絡另一端操縱騙局的人，又有新的“魚”上鉤了。每到這個時候，網絡釣魚攻擊者就會手動按下一個按鈕，讓釣魚網站向訪問者詢問更多信息，例如他們在移動應用程序上收到的一次性密碼。Holden 表示：“這些人有能力從受害者那里實時索取進入其 Coinbase 帳戶所需的任何信息。”按“發送信息”按鈕會提示訪問者提供其他的個人信息，包括他們的姓名、出生日期和街道地址。有了目標的手機號碼，他們還可以點擊“發送驗證短信”按鈕發送一條短信，要求訪問者發回一次性密碼。這個網絡釣魚組織似乎嘗試過用超過 250 萬意大利人的電子郵件地址來注冊新的 Coinbase 賬戶，他們用這種方式找出意大利的 Coinbase 用戶。他的團隊設法恢復了受害者提交給網站的用戶名和密碼數據，幾乎所有提交的電子郵件地址都以“.it”結尾。

此案的網絡釣魚攻擊者可能沒興趣注冊任何賬戶。他們知道用任何同現有 Coinbase 帳戶綁定的電子郵件地址進行注冊都會失敗。在嘗試了幾百萬次之后，釣魚攻擊者將新賬戶注冊失敗的電子郵件地址收集起來，并給這些郵件地址發送以 Coinbase 為主題的釣魚電子郵件。Holden 的數據顯示，該網絡釣魚團伙采用廣撒網的方式，每天會進行數十萬次的賬戶注冊嘗試。例如，在 10 月 10 日，騙子在Coinbase 的系統中檢查了超過 216,000 個電郵地址。第二天他們又嘗試注冊 174,000 個新賬戶。