Un atac de phishing Coinbase la scara larga pretinde a fi o migrare obligatorie a portofelului, inducand in eroare destinatarii sa configureze un nou portofel cu o fraza de recuperare pre-generata controlata de atacatori.
Emailurile au un subiect de „Migreaza la Coinbase Wallet” si afirma ca toti clientii trebuie sa treaca la portofele auto-custodiale. Emailul ofera, de asemenea, instructiuni despre cum sa descarci Coinbase Wallet-ul legitim.
„Incepand cu 14 martie, Coinbase trece la portofele auto-custodiale. In urma unei actiuni in justitie care a pretins ca operatiunile nu sunt inregistrate si neautorizate, instanta a dispus ca utilizatorii sa-si gestioneze propriile portofele,” se arata in emailul de phishing de la Coinbase.
„Coinbase va functiona ca un broker inregistrat, permitand achizitii, dar toate activele trebuie sa fie mutate in Coinbase Wallet.”
„Fraza ta de recuperare unica de mai jos este identitatea ta Coinbase. Ofera acces la fondurile tale – noteaz-o si stocheaz-o in siguranta. Import-o in Coinbase Wallet introducand fiecare cuvant urmat de un spațiu.”
Emailul pretinde ca este de la Coinbase, dar are o adresa de raspuns de la [email protected]. De asemenea, este trimis de la adresa IP 167.89.33.244, care este o adresa IP SendGrid care se rezolva prin DNS la o1.soha.akamai.com.
Deoarece emailul pare sa fi fost trimis direct prin SendGrid si ceea ce pare a fi contul Akamai, acesta trece de verificarile de securitate ale emailului SPF, DMARC si DKIM, evitand filtrele de spam pe multe conturi.
BleepingComputer l-a contactat pe Akamai pentru a intreba daca unul dintre conturile lor SendGrid a fost compromis si a primit urmatoarea declaratie.
„Akamai este constienta de rapoartele referitoare la o posibila escrocherie de phishing care vizeaza utilizatorii Coinbase si care implica un domeniu de email Akamai. Luam securitatea informatiilor foarte in serios si investigam activ aceasta problema,” a declarat Akamai pentru BleepingComputer.
„Escrocheriile de phishing raman o amenintare cibernetica prevalenta si le recomandam tuturor utilizatorilor sa fie precauti daca primesc emailuri nesolicitate, in special cele care solicita informatii personale sau de cont. Daca banuiti ca un email ar putea fi o tentativa de phishing, va rugam sa-l tratati ca atare si sa evitati sa faceti clic pe orice linkuri sau sa furnizati informatii sensibile.”
„Lucram pentru a rezolva situatia si vom continua sa monitorizam si sa reducem orice riscuri asociate. Intre timp, recomandam o vigilenta sporita pentru a va proteja informatiile personale.”
Ceea ce face ca aceasta campanie de phishing sa iasa in evidenta este ca nu exista linkuri de phishing prezente in email, iar toate linkurile duc la pagina legitima Wallet a Coinbase.
In schimb, emailul de phishing include o fraza de recuperare, pe care emailul de phishing spune ca ar trebui folosita pentru a seta noul tau Coinbase Wallet.
Frazele de recuperare, cunoscute si sub numele de „seminee,” sunt o serie de cuvinte care functioneaza ca o versiune citibila de catre om a cheii private a unui portofel de criptomoneda.
Oricine cunoaste aceasta fraza de recuperare poate importa portofelul pe propriile dispozitive, permitandu-le sa fure orice criptomonede si NFT-uri stocate in el.
Majoritatea escrocheriilor de phishing de criptomonede incearca sa fure fraza ta de recuperare, pe care apoi atacatorul o foloseste pentru a fura fondurile tale, dar aceasta actioneaza invers.
Acest email de phishing este foarte inteligent, deoarece, in loc sa-ti fure fraza, iti ofera una care este deja cunoscuta si controlata de atacator.
Odata ce un utilizator seteaza un nou portofel cu acea fraza si transfera fonduri in el, toate activele vor fi acum disponibile pentru actorul de amenintare, care le poate transfera apoi catre un alt portofel pe care il controleaza.
Coinbase este constient de escrocherie, indrumand BleepingComputer catre un post pe X unde se spune ca nu vor oferi niciodata fraze de recuperare clientilor.
„Reamintire: Fiti atenti la escrocheriile cu fraze de recuperare,” a postat Coinbase pe X.
„Suntem constienti de noile emailuri de phishing care circula pretinzand a fi de la Coinbase si Coinbase Wallet. Nu va vom trimite niciodata o fraza de recuperare, iar tu nu ar trebui sa introduci niciodata o fraza de recuperare data de altcineva.”
Pentru cei care au cazut in aceasta escrocherie, daca fondurile sunt inca disponibile in portofelul creat recent, ar trebui sa le transferati rapid inapoi in propriul portofel inainte ca acestea sa fie furate de actorii de amenintare.
In timp ce regula a fost intotdeauna sa nu impartasiti fraza de recuperare cu o alta persoana sau un site web, acum ar trebui extinsa pentru a nu folosi niciodata o fraza de recuperare impartasita cu tine prin emailuri si site-uri web, deoarece acestea sunt probabil folosite pentru a-ti fura criptomoneda.
Leave a Reply