-
-
[资讯](1.25)网络钓鱼加密货币:比特币是如何被盗的?;Satori作者与Mirai新变种Masuta有关;黑客向加油气泵发起进攻
-
发表于: 2018-1-25 10:06
-
网络钓鱼加密货币:比特币是如何被盗的
这个话题由于比特币和其他加密货币最近过山车式地价格变动而变得非常热门。就在一年前,加密货币只是极客的领域,现在所有的网络媒体都在谈论他们,甚至电视和广播也开始参与讨论。加密货币市场每天都会有新的报道。
但骗子也很快地嗅到了这个机会。事实上,加密货币已经给了网络钓鱼 - 创建假网页来窃取来自不知情的用户的凭据 -- 一种新途径。
简单的加密
加密货币网络钓鱼攻击最简单的版本,也就是加密技术,涉及到过时的垃圾邮件。在这种情况下,这种电子邮件似乎源于加密货币相关服务的提供者 -- 网络钱包,交易所等等。
这些邮件比一般的网络钓鱼电子邮件显得更为详细和复杂。例如,有人可能会发出安全警报,说有人试图使用这样或那样的浏览器从这样或那样的地址登录您的帐户,您只需点击一下链接即可确认一切正常。潜在的受害者甚至可能已经在cryptowallet网站上收到过这样的消息,在这种情况下,他们不会察觉到任何异常状况。
或者这可能是一个邀请,就一个加密货币事件进行调查,在填写调查后会得到一个相当慷慨的奖励(比如0.005比特币,目前的比率大约是50-70美元)。点击链接,开始调查。
事件的结果总是类似的:受害者被链接到假版本的加密货币网站,并要求输入他们的电子钱包凭证。最受欢迎的比特币钱包网站看起来就很简单,就很容易让犯罪分子造一个假的钓鱼网站。
三个不同的钓鱼网站,看起来像blockchain.info
赌注是相当高的:劫持包含几个分贝的电子钱包并不像是偷窃电子邮件账户 - 在黑市上每桶要20美分。在电子钱包中,犯罪分子可以通过快速而直接的途径获得一些令人感到刺激的消息,因此他们把更多精力用于搭建钓鱼网站,并使其尽可能地逼真。
创造性的加密
最近发现了一个更复杂的加密方案,它使用了一些Facebook中有趣的功能。下面来看看它是怎么工作的:
- 骗子找到一个加密货币社区,并创建一个与社区官方页面相同标题和设计的Facebook页面。他们使虚假网页的地址与真实网页的地址只差别一个字母。发现这个差别并不容易,因为在Facebook中,您可以为您的组织或自己设置任何名称,而且这些名称总是显示得比实际地址要醒目得多。
- 然后,骗子从虚假网页向真实社区的成员发送网络钓鱼邮件。个人消息由于各种原因不适合于此目的(例如,他们不能代表页面发送给用户)。因此,骗子使用了一个有趣的伎俩:为了成功骗到某人,他们在他们的页面上分享受害者的个人资料照片并在那里标记。
狡猾的部分是,个人资料照片总是对每个人都可见 - 而且不可能阻止某人分享,或在Facebook上标记你 - 所以这个技巧即使对于注意保护隐私的人也是有效的。防范这种攻击的唯一方法是禁用有关由未知用户,页面和社区创建的标签的通知。
- 最有趣的一点是在骗子用来标记他们的攻击对象的消息文本。例如,该消息可能表示由于用户对他们的平台的忠诚度,所以他们是获得20.7232723 9(就是这么精确的一个值)的加密货币单位的100个幸运者之一。当然,有一个获得货币的链接。
请注意,该消息包含接收奖励的详细条款和条件(例如平台上的最小交易次数)。再加上不会过高但合理的数额诱惑(大约100-200美元),这似乎是合理的。
如何防范钓鱼攻击
最近,加密市场可能像一个摇钱树,但加密货币服务并不是慈善机构,他们还是想方设法赚钱。如果有人答应你免费加密货币,很可能你已经开始步入圈套。
始终仔细地检查每个链接。最好不要点击来自网络服务的消息中的链接 - 而是在浏览器的地址栏中输入服务的地址。
仔细配置您的隐私设置,以避免中了Facebook欺诈计划的圈套。参见这篇博客看看如何应对。配置Facebook通知也是一个不错的主意 - 我们也有一个相关的帖子。
使用具有专门的反钓鱼保护的防病毒解决方案。比如说,卡巴斯基互联网安全就是一个不错的主意。
本文由看雪翻译小组 fyb波编译
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
Satori作者与Mirai新变种Masuta有关NewSky Security的研究人员说,Mirai恶意软件变种Satori背后的黑客,是Mirai Okiru,他同时还是Mirai的两个新的变种Masuta和PureMasuta背后的创作者。 根据最近在暗网上发现的Masuta恶意软件的源代码,NewSky Security的研究人员表示,他们能够连接Satori僵尸网络和Masuta僵尸网络之间的结点。而幕后黑手被认定为是Nexus Zeta。 上个月,研究人员首次将Nexus Zeta当成一系列针对华为路由器的攻击的背后作者,劫持路由器来传播Mirai的变种Satori。最初,Nexus Zeta被认为是新手黑客,因为黑客留下的线索使得研究人员以为他是网站HackForums的一员。 NewSky Security的首席研究员Ankit Anubhav表示:“有了这个泄露出来的代码,现在我们知道Nexus Zeta不是一位隐藏的高手或者一个复制粘贴的脚本小子。他一直在编写改造Masuta恶意软件来提高自己的技能。” 在周二发布的一份研究报告中 ,NewSky Security的研究人员还发现了第二个Masuta变体PureMasuta。该变种是独一无二的,因为恶意软件利用攻击者使用了“武器化”的D-Link HNAP漏洞来增长其僵尸网络的规模。 D-Link HNAP漏洞是2015年在D-Link产品中最初确定的家庭网络管理协议(HNAP)的一个注入漏洞。HNAP是Pure Networks开发的网络协议,后来被思科收购。HNAP基于简单对象访问协议(SOAP),被设备管理员用来管理网络设备的一个协议。 Anubhav写道:“通过使用hxxp://purenetworks.com/HNAP1/GetDeviceSettings可以创建一个可以绕过认证的SOAP查询。另外,由于不正确的字符串处理,有可能会导致运行系统命令(任意代码执行)。当这两个问题结合在一起时,可以形成一个首先绕过认证的SOAP请求,然后导致任意代码执行的攻击方案“。 Anubhav说,从命令和控制服务器下载的PureMasuta僵尸网络shell脚本的检查显示,Masuta和PureMasuta共享同一台服务器。 Anubhav说:“我们注意到,命令和控制服务器与原始Masuta变种中使用的相同,因此表明PureMasuta是Masuta僵尸网络的进化版本。” 自9月以来,根据NewSky Security观察到的蜜罐活动显示,PureMasuta感染的IP已经高达12倍。
Okiku/Satori是Check Point研究人员于11月23日首次发现的。去年12月,奇虎360 Netlab的研究人员表示,Satori在12小时内感染了超过28万个IP地址,并控制了超过50万至70万个物联网设备。 Anubhav说:“Nexus Zeta在实现与SOAP相关的攻击方面并不陌生。在其Satori僵尸网络项目中,已经观察到攻击者在实施其他两个已知的SOAP相关攻击,CVE-2014-8361和CVE-2017-17215。以前在物联网僵尸网络中也发现了第三个SOAP漏洞,TR-069漏洞。而EDB 38722漏洞则成为物联网僵尸网络发现的第四个与SOAP相关的漏洞。“。 原文链接:threatpost |
|
|
|
