Criptomonedele sunt o zonă financiară virtuală care se bazează pe investiția în monede virtuale, a căror valoare poate să scadă sau să crească in funcție de fluctuația pe care o au investițiile, retragerile sau diferite evenimente globale care afectează această zona financiară virtuală.

Este bine cunoscut faptul că exista multe persoane care recunosc aceste investiții ca pe o oportunitate fructuoasă din care să-și asigure un trai sau un venit suplimentar. Din nefericire actorii malițioși au înțeles beneficiile acestor monede virtuale și au căutat moduri prin care pot produce venituri ilicite de pe urma investitorilor.

Metodele folosite de atacatori sunt de regulă(dar nu numai) atacurile de tip phishing, mail-uri sau site-uri care par că provin de la o sursă legitimă. Prin această tehnică atacatorul încearcă să câștige încrederea victimei, cu cerința efectuării diferite operațiuni online, la finalul cărora atacatorul sustrage datele de interes(datele cardului, conturi bancare, sau conturi de investiții) în vederea efectuării de operațiuni ilicite sau valorificării informaților sustrase pe alte platforme de pe darkweb, specifice vânzătorilor și cumpărătorilor de informații sau produse ilicite.

De regulă mail-urile tip phishing conțin un link care odată accesat redirecționează victima pe un site aparent legitim, în realitate este o capcană prin care se realizează schimbul ilicit de date. Victima introduce informații pentru a avea un câștig fals sau diferite pretexte pe care atacatorul le se folosește pentru  dobândirea încrederii victimei și a-și asigura succesul campaniei.

În ultima vreme s-a sesizat o sporire a acestor atacuri în zona criptomonedelor, conform Kaspersky cu 40% a atacurilor detectate în 2022 față de 2021, iar creșterea continuă cu atacuri la nivel mondial. Motivele acestor creșteri de atacuri phishing le putem enumera începând cu instabilitatea financiară în care ne aflăm, investitorii fiind tentați să cumpere monede virtuale la prețuri mai mici ca apoi să își retragă investițiile în momentul în care piața se va stabiliza. Hackerii și-au îndreptat atenția în această zona probabil datorită faptului că pe timp de criză investițiile cresc în diferite domenii, iar unde există prosperitate sau posibilitatea fructificării unor câștiguri legale, acolo își vor îndrepta atenția și cei cu intenții malițioase.

Echipa Microsoft Threat intelligence a ridicat un semnal de alarmă asupra posibilității ca atacatorii să poată să achiziționeze kit-uri de phishing care să poată fi folosite în lansarea acestor campanii care pot să vizeze investitorii cripto prin metode din ce în ce mai sofisticate. Microsoft anunță că cele mai sofisticate atacuri în această arie se bazează pe metoda AiTM (adversary in the middle), atacatorii se așează printr-un proxy între user și server, urmărind traficul de internet, ca mai apoi să exfiltreze informațiile userului, fie prin sutragerea datelor cookie sau datelor bancare/cripto pe care le folosește mai târziu pentru a efectua operațiuni în detrimentul victimei. Această metodă sofisticată reușește să evite detectarea CAPTCHA și să treacă peste MFA. Industrializarea ilicită a tehnicilor prin care atacatorii exploatează vulnerabilități ale firii umane sau ale tehnologiilor duce la creșterea atacurilor cibernetice la nivel mondial și la creșterea complexității acestora, respectiv la nevoia de profesioniști în securitate cibernetică crește direct proporțional cu aceste tendințe.

Phishing-as-a-Service este unul dintre numeroasele servicii oferite de hackerii experimentați, în schimbul prețului cerut pentru un kit de phishing. Aceste kit-uri variază în preț și categorie în funcție de campania de phishing pe care cumpărătorul dorește să o lanseze, aici se ține cont de zona geografică și de userii țintă. BulletProofLink(sau BulletProftLink) este un mare furnizor al acestor servicii, fiind responsabil pentru numeroase campanii de phishing , dat fiind faptul că multe kit-uri de phishing ar putea fi cumpărate de pe această platformă ilicită. Platforma oferă mai multe tipuri de kit-uri, de la site-uri infectate cu malware sau site-uri clonă prin care se pot sustrage informațiile de interes pentru cumpărător. Costurile pentru serviciile platformei sunt mici, începând de la 80$.

Platforma malițioasă oferă phishing kit cu imaginea mai multor companii de renume, printre care Microsoft, Google, Adobe. Fiecare produs are o descriere legată de funcționalitate și mod de folosire, garantând succesul campaniei și 0 bug-uri în folosirea kit-ului.

Imaginea BlockChain este folosit în unul dintre serviciile oferite de BulletProofLink, cu un phishing kit care garantează sustragerea datelor necesare de la victimă în vederea accesării portofelului virtual al acesteia și sustragerea monedelor virtuale.

Cum funcționează Phishing-as-a-Service?

Conform Microsoft Threat intelligence atacatorul trimite un mail victimei cu un link către primul site a cărui DNS a fost compromis tehnica infinit subdomains care, odată ce victima a accesat linkul, poate fi un articol care să conțină instrucțiuni sau modul în care campania falsa funcționează. Victima este redirecționată către site-ul capcană unde își va introduce datele de interes, în cazul  BlockChain ID portofel și parolă. Datele sustrase se vor introduce în baza de date ale atacatorului, iar în același timp în baza de date BulletProofLink.

La nivelul României este în desfășurare o campanie de phishing care vizează investitorii crypto prin mailuri care pretind că provin de la Ripple, o platforma dedicată atât investitorilor crypto, cât și companiilor, dezvoltata de Ripple Lab, aplicația are rolul de-a facilita tranzacțiile. Victimelor li se oferea recompense în moneda XRP sau diferite oferte tentante, metode prin care atacatorul urmărește să atragă victima în jocul malițios. Atacatorul dorește să câștige încrederea victimei prin imitarea unor surse legitime și a unor operațiuni care pot părea reale. Conform BitDefender atacurile sunt îndreptate în SUA, dar și în Europa, un număr limitat dintre acestea și în  România, riscul ca aceste atacuri să crească există în continuare, având în vedere că această campanie se presupune că a început din 30 martie. Cele mai afectate țări sunt  SUA, Marea Britanie și Australia.

Conform BitDefender o parte din mail-urile de pe care au fost depistate aceste atacuri sunt:

Victimele primesc un mail fals de la Ripple în care se află un link, dupa care victima este redirecționată spre un articol cu instrucțiuni prin care userul își poate obține recompensa,  apoi este redirecționat spre RippleNet, un site clonă unde primesc instrucțiuni suplimentare. În final atacatorul obține toate datele necesare ale portofelului electronic și poate accesa și goli portofelul în conturile proprii.

Acest timp de atac este asemănător cu serviciile oferite de BulletProofLink, este posibili ca atacatorul care a pornit campania Ripple să aibă legături cu BulletProofLink. Totodată această metodă de phishing, în cazul cripto, este la modă printre hackeri, modul de operare fiind asemănător, ne poate duce cu gândul la o conexiune, însă este posibil ca cele două entități malițioase să nu aibă vreo legătură.

Atacatorii se pot folosi un atac din trecut în urma căruia baza de date a ajuns online, ca urmare a unui dumb sau o informație cumpărata de pe platforme Darkweb.  Un mare număr de atacuri cibernetice s-au soldat cu un dumb, atacatorul ia mail-urile din acel dumb și verifică, prin încercarea de-a crea un cont pe o platforma de tranzacționare crypto, daca acel mail este deja deținătorului unui cont.  Însă adresa de e-mail nu este îndeajuns pentru a accesa un cont, parola și MFA sau 2FA este necesară. Mai sus am văzut cum prin phishing pot accesa contul de investiții crypto, însă în unele momente, în unele dumb-uri în care este adresa e-mail și parola, atacatorul poate încerca parola găsită în acel dumb, majoritatea persoanelor folosind același parole în toate platformele în care navighează.

Atacatorul are e-mailul dintr-un dumb, o baza de date compromisă sau de pe platforme DarkWeb, iar parola fie prin același mod, fie printr-un atac phishing pe mail-ul proaspăt obținut. În continuare atacatorul trebuie să treacă peste MFA sau 2FA. Aici intervine vulnerabilitatea firii umane, majoritate user-ilor de pe platformele de investiții crypto folosesc ca metodă de 2FA sau MFA, SMS-ul primit pe telefon. Numărul de telefon poate fi obținut dintr-un dumb sau prin folosirea tehnicilor de inginerie socială. Atacatorul poate apela la multe metode prin care să preia controlul mesageriei. Unul din ele este să sune personal la compania de telefon și să ceară schimbarea cartelei, din diferite motive, de exemplu pierderea sau furtul telefonului. Alte metode se pot materializa în atacuri phishing împotriva companiei sau a victimei, prin care să își asigure accesul la telefonul victimei.

Având adresa e-mail, parola și metoda alternativă de autentificare, atacatorul poate prelua controlul contului și poate efectua retrageri sau transferuri în conturi proprii, astfel victima pierde monedele virtuale în acest fel. Deși procesul prin care atacatorul trece pentru a efectua acest gen de atac este unul lung și complex, veniturile ilicite care rezultă din acest atac, este motivația de care acesta are nevoie.

În Octombrie a anului 2021 un număr de aproximativ 6000 de useri Coinbase au fost victime ale unui atac de acest gen, actorul malițios reușind compromiterea acestor useri prin metoda prezentată anterior.

Recomandări

1. Verificați sursa de la care e-mailul a fost trimis, în general adresele malițioase arată atipic față de adresele oficiale sau a userilor de rând, cum este în exemplul BitDefender de mai sus. Observam ca în acele adrese de e-mail malițioase se află și numele companiei/sursei legitime care este folosită ca imagine în atac. Totodată ceea ce poate ridica suspiciuni este sintagma ”mail” și un număr aleatoriu înainte de numele companiei.
2. Modul în care e-mailurile phishing sunt scrise. Acestea pot conține erori gramaticale sau să aibă un conținut și formă atipică față de destinatarul legitim sau alte e-mailuri oficiale trimise de surse legitime.
3. Nu introduceți datele în site-uri pe care nu le cunoașteți sau au domeniul dublat (de exemplu www.exemplu.asdasd.com/altexemplu.ro) de regulă atacatorii folosesc acest gen de domenii în campaniile phishing
4. Folosiți o singură adresă de e-mail pentru fiecare din conturile bancare sau investiții crypto sau poate chiar acțiuni. În eventualitatea unui atac cibernetic asupra unei companii unde aveți înregistrată adresa de e-mail principală, atacatorul deși va obține adresa principală de e-mail, posibilitatea să obțină adresa de e-mail cu conturile valoroase se diminuează semnificativ.
5. Nu folosiți aceeași parolă pe toate platformele pe care navigați, preferabil să aveți câte o parolă diferențiată pentru fiecare platformă pe care o folosiți, în special unde dețineți active.
6. Schimbați parolele cât de des(cel puțin lunar) și nu stocați în medii cu conexiune la internet parolele.
7. Evitați folosirea metodei SMS în MFA, apelați la o metodă mai eficientă, precum ceea a unei chei de securitate, unei parole unice pentru contul dumneavoastră pe care să o cunoașteți doar dumneavoastră și pe care să nu o țineți stocată într-o platformă conectată la internet, de preferat ar fi să o notați fizic intr-o agendă sau un instrument asemănător, ori folosirea unui spațiu de stocare extern.
8. Mențineți platformele desktop și mobile la ultimele actualizări. Furnizorii de servicii sunt la curent cu vulnerabilitățile cunoscute pe care le au în sistem, făcând eforturi pentru a le securiza în mod constant. Menținerea actualizărilor la zi vă va creste siguranța în mediul online.
9. Nu discutați public despre activele pe care le dețineți, în special, evitați să distribuiți informații în mediul online despre activele dumneavoastră.
10. Nu vă grăbiți să oferiți datele pe diferite platforme, sursele legitime nu vă vor cere parola sau alte date sensibile pentru a putea continua navigarea.
11. În general câștigul cel mai ușor este cel mai riscant, companiile pentru servicii crypto nu sunt cunoscute pentru recompense care vin peste noapte. Prin urmare la primirea unui eventual e-mail cu un câștig tentant, verificați informația online, dacă e-mailul este legitim, cu siguranță nu veți fi prima persoană care îl primește sau va exista o campanie anunțată de compania respectivă în acest sens.
12. Folosiți aplicații de detectare malware sau firewall care să filtreze activitățile malițioase care se îndreaptă împotriva dumneavoastră.
13. În cazul în care sunteți victima unui atac prezentat mai sus, apelați la platforma a căror date v-au fost compromise pentru prevenirea sau combaterea pe cât posibil a unui eveniment cibernetic.
14. Apelați la autoritățile competente în cazul în care sunteți victima unui atac cibernetic. De regulă o plângere formulată la Poliție poate să urmeze un circuit care, după primirea unui număr considerabil de plângeri cu același mod de operare, să ajungă în competența mai multor instituții pentru securitate națională.
15. Folosiți metoda notificării în prealabil, pe cât posibil a unui acces suspect în conturile de active pe care le dețineți. Aceeași recomandare este și în cazul tuturor transferurilor.
16. În eventualitatea în care sunteți victima unui atac cibernetic apelați la compania unde datele, împreună cu activele dumneavoastră sunt stocate și anunțați evenimentul. Este posibil sa nu fie un eveniment cunoscut, iar dumneavoastră să nu fiți singura victima, răspunsul cât mai rapid la incident poate diminua efectele negative ale unui eveniment cibernetic.
17. Verificați periodic activele dumneavoastră în vederea sesizării vreunui aspect suspect. Este posibil ca unii atacatori să nu sustragă sume mari, pentru a reduce șansele de-a fi prinși.
18. Efectuați o investigație online asupra platformelor de investiții pe care urmează să le folosiți pentru a vedea gradul de siguranță pe care acestea îl oferă, precum și modul în care au gestionat un incident din trecut, în cazul în care a avut loc.
19. Citiți cu atenție Termenele și Condițiile de pe platformele de investiții și informați-vă asupra modului în care datele dumneavoastră personale vor fi gestionate în timpul folosirii acestor platforme.
20. Nu oferiți datele dumneavoastră sensibile pe platforme ale căror intenții nu le cunoașteți sau pe platforme despre care până în acel moment nu există informații pe care să le puteți accesa.

Lista de recomandări poate continua însă ceea ce este important să rețineți este faptul că mediul online nu vine doar cu beneficii, ci și cu riscuri, iar dumneavoastră înainte de oricine trebuie să vă asigurați protecția necesară în fața acestor riscuri. Atacatorii vor fi mereu atrași ca un magnet de medile fructuoase și vor folosi mereu metode din ce în ce mai sofisticate pentru a-și atinge succesul în cadrul acestor medii. Este de datoria fiecăruia dintre noi să ne asigurăm securitatea cibernetică.