Новый X Account Account Attack Targets Cryptocurrenty Community

Новая сложная фишинговая кампания нацелена на X-учетные записи личностей криптовалюты, используя тактику, которая обходит двухфакторную аутентификацию и выглядит более достоверной, чем традиционные мошенничества.

Согласно в среду x Post, от разработчика криптовалюты Зак Коул, новая фишинговая кампания использует собственную инфраструктуру X, чтобы захватить отчеты личностей криптовалюты. «Ноль обнаружение. Активность прямо сейчас. Полное поглощение аккаунта», – сказал он.

Коул подчеркнул, что атака не включает в себя поддельную страницу входа в систему или кражу пароля. Вместо этого он использует поддержку приложения X, чтобы получить доступ к учетной записи, а также обходить двухфакторную аутентификацию.

Исследователь безопасности Metamask Ohm Shah также подтвердил, что атака «в дикой природе» предлагает более широкую кампанию, и модель единственного FANS также была нацелена на менее сложную версию атаки.

Связанный: Blockstream звучит тревога в новой электронном фишинговом кампании

Создание достоверного фишингового сообщения

Примечательной особенностью фишинговой кампании является то, насколько она заслуживает доверия и осторожен. Атака начинается с прямого сообщения, содержащего ссылку, которая, по -видимому, перенаправляется на официальный домен календаря Google, благодаря тому, как платформа социальных сетей генерирует свои предварительные просмотры. В случае с Коулом сообщение притворилось, что будет от представителя фирмы венчурного капитала Андреска Горовица.

Домен, на который ссылается сообщение,-это «x (.) Ca-Lendar (.) Com» и был зарегистрирован 20 сентября.

«Ваш мозг видит календарь Google. URL отличается».

При щелчке, JavaScript страницы перенаправляется в конечную точку аутентификации x, запрашивающую авторизацию для приложения для доступа к вашей учетной записи в социальных сетях. Приложение, по -видимому, является «календарем», но техническое исследование текста показывает, что имя приложения содержит два кириллических символа, которые выглядят точно так же, как «А» и «E» – что делает его отдельным приложением по сравнению с фактическим приложением «календарь» в системе X.

СВЯЗАННЫЕ: Phishing Scams стоят пользователям более 12 млн. Долл. США в августе – вот как остаться в безопасности

Подсказка раскрывает атаку

До сих пор наиболее очевидным признаком того, что ссылка не была законной, возможно, был URL, который кратко появляется до перенаправления пользователя. Это, вероятно, появится только на долю секунды, и его довольно легко пропустить.

Тем не менее, на странице аутентификации X мы можем найти первый намек на то, что это действительно фишинговая атака. Приложение запрашивает длинный список комплексных разрешений на контроль учетных записей, в том числе следующие и отписывающие его учетные записи, обновление профилей и настройки учетных записей, создание и удаление сообщений, взаимодействие с сообщениями других и многое другое.

Эти разрешения кажутся ненужными для календарного приложения и могут быть намеком, который спасает осторожного пользователя от атаки. Если разрешение предоставляется, злоумышленники получают доступ к учетной записи, поскольку пользователям дают еще один намек с перенаправлением на Calendly.com, несмотря на предварительный просмотр календаря Google.

«Календарно? Они подделали календарь Google, но перенаправляют на каленку? Основной отказ от операционной безопасности. Это несоответствие может отдать заявление жертв», – подчеркнул Коул.

Согласно отчету Cole’s Github о атаке, чтобы проверить, был ли ваш профиль скомпрометирован, и вытеснить злоумышленников из учетной записи, рекомендуется посетить страницу приложений X Connected Apps. Затем он предлагает отменить любые приложения под названием «Календарь» или «CALENDAR». Тем не менее, это, вероятно, хорошая рекомендация для отмены любых приложений, которые вы не используете активно.