Как пользователи Coinbase подвергаются фишинговым атакам
Доменное имя Coinbase неоднократно использовалось злоумышленниками для разного рода атак на адреса пользователей этой популярной американской торговой платформы. И, к сожалению, некоторые из них были успешными.
Преступники и мошенники, которые охотятся за активами криптоинвесторов и трейдеров, придумывают все более изощренные и замысловатые схемы и стратегии. Некоторые из них мы описывали в предыдущих статьях. Если раньше мошенники имитировали официальные аккаунты в мессенджерах или социальных сетях, то теперь стали использовать официальные домены криптобирж, а также электронную почту, выдавая себя за работников торговых платформ.
Атаки через электронную почту с домена Coinbase
Один из таких случаев описал Дэниэл Мэйсон (Daniel Mason), на e-mail которого с 7 июля начали поступать электронные письма от мошенников. По его информации, письма он получал с официального почтового сервера в домене Coinbase.com.
Злоумышленник позвонил Мэйсону с местного номера телефона, а затем отправил электронное письмо с домена coinbase.com. В результате Дэниэл получил фишинговое текстовое сообщение, которое содержало ссылку на адрес в поддомене Coinbase. Перейдя на эту страницу, Мэйсон увидел форму для подтверждения персональных данных, таких как почтовый адрес, номер социального страхования и водительских прав, а также авторизационных реквизитов.
В ходе телефонного разговора преступник сообщил, что зафиксированы попытки нарушения учетной записи, поэтому необходимо пройти определенную штатную верификационную процедуру, которая инициируется с помощью письма на электронный адрес пользователя. А потому сейчас поступит электронное письмо от Coinbase. И почти сразу после этого с адреса [email protected] поступило сообщение.
Он решил на мне отработать этот кейс? Или получил доступ к почтовым серверам Coinbase?— удивленно (или находясь в шоковом состоянии) спрашивает своих подписчиков в Twitter Мэйсон.
Твит пользователя, в котором он удивлен высоким уровнем подготовки мошенника. Источник: Twitter
Один из клиентов Coinbase в результате фишинговой атаки потерял $50 000 и теперь судится с биржей
Случай Мэйсона далеко не единственный. Краткий обзор страницы службы поддержки Coinbase демонстрирует, что пользователи жалуются на разные виды мошенничества. Еще один клиент утверждает, что после потери активов в результате фишинговой атаки он позвонил по телефону на линию поддержки Coinbase, чтобы проверить подлинность электронного письма и лица, назвавшегося представителем биржи. Работник службы поддержки подтвердил, что общение происходило с номера телефона, принадлежащего бирже, но электронное письмо было делом рук хакера.
«Работник биржи идентифицировал хакера как сотрудника Coinbase, который позднее украл мою криптовалюту. Затем они начали затягивать это дело и не желали нести ответственность за этот инцидент, хотя у меня были свидетели, время и дата звонка, а также ФИО сотрудника, с которым я разговаривал», — сообщил потерпевший. Сейчас дело находится в суде. Потерпевший утверждает, что общая сумма всех утраченных активов составляет около $50 000.
Еще одна схема фишинга, связанная с двухфакторной аутентификацией
О еще одной фишинговой схеме сообщил Джэйкоб Кэнфилд (Jacob Canfield). 13 июня он получил текстовое сообщение и телефонные звонки от мошенника, который сообщил, что из-за изменения параметров двухфакторной аутентификации (2FA) необходимо пройти дополнительную процедуру идентификации.
«Затем для проверки моего аккаунта они переадресовали меня на команду службы безопасности, чтобы избежать блокировки на 48 часов. При этом они знали мое имя, электронную почту и местонахождение, а также отправили электронное письмо с «кодом подтверждения» с [email protected] на мою личную электронную почту», — написал Кэнфилд в Twitter, добавив, что преступник разозлился и бросил трубку после получения отказа ввести этот код для продления процедуры.
Твит о попытке мошенничества с использованием домена Coinbase.com. Источник: Twitter
Интересно то, что электронный адрес [email protected] указан на странице службы поддержки биржи как официальный. К тому же, эта компания многократно информировала своих пользователей о том, что работники Coinbase при любых обстоятельствах не имеют права запрашивать какие-либо пароли или 2FA-коды и не нуждаются в удаленном доступе к клиентским устройствам. И вдруг такое…
Реакция Coinbase
На многочисленные запросы пользователей и журналистов Coinbase продолжает отвечать шаблонными отписками, что компания выделила значительные ресурсы для повышения уровня безопасности и информирования пользователей о том, как предотвратить фишинговые атаки со стороны мошенников. Биржа сообщает, что сотрудничает с международными правоохранительными органами, чтобы гарантировать, что за любой мошеннической атакой на адрес клиентов Coinbase последует суровое наказание и преследование в соответствии с действующим законодательством.
Все как всегда: спасение утопающих — дело рук самих утопающих.
Наши рекомендации
Создавайте длинные, надежные и уникальные пароли для каждой отдельной учетной записи и периодически их меняйте (в идеале — раз в квартал). Чтобы не забыть, их следует хранить в специальных программах типа password manager, хотя поможет и обычный текстовый файл (*.txt), заархивированный с использованием сложного пароля. Также обязательно используйте двухфакторную аутентификацию (Google Authenticator или аналоги) не только для каждого биржевого аккаунта, но и для электронных ящиков, подвязанных под эти аккаунты.
И еще! Не переходите по ссылкам из электронных сообщений, если только вы сами не инициировали запрос в службу поддержки из-за наличия определенной проблемы! Любые «инициативы» со стороны бирж или торговых площадок могут быть попыткой мошенников получить доступ к вашим цифровым кошелькам с целью кражи активов.