Кіберполіція викрила масштабну фішингову кампанію (фото)
Наприкінці вересня 2017 року, спільно з працівниками підрозділу «Talos» компанії «Cisco», кіберполіція розпочала спільне розслідування однієї із наймасшабніших фішингових кампаній, направлених на користувачів криптовалюти (операція «Coinhoarder»). Про це інформує Департамент кіберполіції Національної поліції України.
Початкова інформація надійшла від колег із «Cisco». Під час аналізу було знайдено велику кількість доменів, назви яких були дуже схожі на оригінальний ресурс онлайн сервісу віртуальних Bitcoin-гаманців: blockchain.info. Із повним списком фішингових ресурсів можна ознайомитись ТУТ.
«Заманювання» користувачів відбувалось за допомогою рекламних кампаній Google Adwords. При введені ключової фрази «blockchain» в пошуковій системі Google з’являлося посилання, яке виглядало цілком легітимним:
Однак після переходу за цим посиланням користувач потрапляв на фейковий домен (типу bockchain.info). Домен виглядав аналогічним оригінальному, проте мав інше доменне ім’я та спеціально розроблений скрипт від зловмисників.
Якщо детальніше, то схема працювала наступним чином:
1. Користувач відкриває фейковий сайт.
2. Сервер зловмисників, на базі Nginx + LuaJIT перенаправляє запит на оригінальний blockchain.info.
За допомогою модуля мови програмування Lua у web-сервері Nginx, одразу відбувається зміна даних заголовків та в деяких випадках заборона.
3. Як тільки користувач входить в гаманець, або створює новий, завантажуючи з сайту JavaScript, Nginx на фейковому сервері підміняє його своїм.
Зазначені функції, при ініціалізації гаманця відсилають за спеціальною адресою POST-запит із даними: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts.
В «accounts» містяться xpub та xpriv ключі для кожного гаманця. Якщо ж дані гаманця зашифровані подвійним паролем, то він розшифровує та відправляє цю інформацію до себе на сервер. Цікавий факт, що двофакторна аутентифікація в данному випадку не допоможе.
4. На фейковому сервері працює php-backend, який здійснює взаємодію з даними гаманців.
За нашими приблизними підрахунками лише у період з вересня по грудень 2017 року, використовуючи вищезазначений метод, зловмисники заволоділи криптовалютою на суму 700 BTC (на момент написання статті ця сума еквівалентна 5 млн. доларів США). Згідно інформації від спеціалістів з безпеки ресурсу blockchain.info, ця фішингова кампанія є однією з наймасштабніших за всю історію існування компанії. Ми вважаємо, що ця група почала свою діяльність ще наприкінці 2014 року, та за 3 роки їх загальних дохід від злочинної діяльності може перевищувати сотні мільйонів доларів США.
У 2018 році, діяльність цієї групи значно впала. Пов’язуємо це із введенням додаткових правил модерації рекламних повідомлень в Google Adwords. Це також підтверджується аналізом активності осіб на закритих форум-майданчиках, які пропонують послуги з ведення шахрайських рекламних кампаній.
Спеціалісти з кіберполіції також знайшли підтвердження того, що ці зловмисники причетні до створення декількох так званих HYIP-проектів, таких як: flexibit.bz, verumbtc.com, hashminers.biz, котрі явно є так званим «скамом» (scam).
Крім того, останнім часом в Україні створюється все більше «розпіарених» криптовалютних проектів, які створюють свої криптовалюти та намагаються залучити інвестиції. У більшості випадків такі проекти орієнтовані на швидкий збір грошових коштів з населення за відсутності будь-яких гарантій доходу.
У подальшому, існує декілька сценаріїв розвитку:
- повідомлення про нібито злам проекту/біржі;
- відсутність росту самої криптовалюти;
- банальне зникнення засновників із усіма коштами.
У зв’язку з цим, рекомендуємо більш обережніше відноситись до інвестицій в подібні проекти.
На даний момент, ми продовжуємо відслідковувати діяльність ще декількох груп, які займаються викраденням криптовалюти, результати розслідувань будуть представлені у найближчий час.
Нагадаємо, раніше керівник української кіберполіції Сергій Демедюк наголошував на необхідності законодавчого врегулювання статусу криптовалюти в Україні.
varta1.com.ua: Новини
Упродовж доби п’ятеро жителів Буковини втратили понад 400 тисяч гривень: подробиці
Проводяться досудові розслідування
Перед судом постане 19-річний львів’янин за шахрайство під приводом «інвестицій»
Йому загрожує до трьох років тюрми
У Кам’янці-Подільському чоловік з ножем напав на 16-річну дівчину: поліція затримала нападника
Потерпіла змогла вирватися від розбійника та втекла
Найкоментованіше
- Українців штрафуватимуть та судитимуть за зберігання дров: детальніше про ухвалений Радою закон
- На Закарпатті СБУ та Нацпол затримали заступника комбрига та керівника РТЦК (ФОТО)
- Автівки виставляли на продаж: БЕБ на Львівщині викрило БФ, який завіз 130 автомобілів під виглядом гуманітарної допомоги (ФОТО)
- У страшній ДТП загинув воїн зі Львівщини
- Живим коридором, навколішки на Львівщині зустрічали "на щиті" загиблого на Курщині морського піхотинця (ФОТО)
Найчитаніше
- Українців штрафуватимуть та судитимуть за зберігання дров: детальніше про ухвалений Радою закон
- На Закарпатті СБУ та Нацпол затримали заступника комбрига та керівника РТЦК (ФОТО)
- На Львівщині водій маршрутки може сісти за грати на 10 років (ФОТО)
- Українських туристів, які збираються до Єгипту, попереджають про ризики для життя
- Живим коридором, навколішки на Львівщині зустрічали "на щиті" загиблого на Курщині морського піхотинця (ФОТО)
Коментарі