Як користувачі Coinbase зазнають фішингових атак
Доменне ім’я Coinbase неодноразово використовувалося зловмисниками для різного роду атак на адреси користувачів цієї популярної американської торгової платформи. І, на жаль, деякі з них були успішними.
Злочинці та шахраї, які полюють на активи криптоінвесторів та трейдерів, вигадують все більш досконалі та хитромудрі схеми і стратегії. Деякі з них ми вже описували у попередніх статтях. Якщо раніше шахраї імітувати офіційні акаунти в месенджерах чи соціальних мережах, то тепер почали використовувати офіційні домени криптобірж, а також електронну пошту, видаючи себе за працівників торгових платформ.
Атаки через електронну пошту з домену Coinbase
Один з таких випадків описав Деніел Мейсон (Daniel Mason), на e-mail якого з 7 липня почали надходити електронні листи від шахраїв. За його інформацією, листи він отримував з офіційного поштового сервера у домені Coinbase.com.
Зловмисник зателефонував Мейсону з місцевого номера телефону, а потім надіслав електронний лист із домену coinbase.com. У результаті Даніел отримав фішингове текстове повідомлення, яке містило посилання на адресу у піддомені Coinbase. Перейшовши на цю сторінку, Мейсон побачив форму для підтвердження персональних даних, таких як поштова адреса, номер соціального страхування та водійських прав, а також авторизаційних реквізитів.
Під час телефонної розмови злочинець повідомив, що зафіксовані спроби порушення облікового запису, тому необхідно пройти певну штатну верифікаційну процедуру, яка ініціюється через лист на електронну адресу користувача. А тому зараз надійде електронний лист від Coinbase. І після цього з адреси [email protected] майже одразу надійшло повідомлення.
Він на мені першому вирішив відпрацювати цей кейс? Чи отримав доступ до поштових серверів Coinbase?— здивовано (чи перебуваючи у стані шоку) запитує своїх підписників Мейсон у Twitter.
Твіт користувача, у якому він дивується високому рівню підготовки шахрая. Джерело: Twitter
Один із клієнтів Coinbase у результаті фішингової атаки втратив $50 000 і тепер позивається до суду на біржу
Випадок Мейсона далеко не поодинокий. Короткий огляд сторінки служби підтримки Coinbase демонструє, що користувачі скаржаться на різні види шахрайств. Ще один клієнт стверджує, що після втрати активів у результаті фішингової атаки він зателефонував на лінію підтримки Coinbase, щоб перевірити справжність електронного листа та особи, яка назвалася представником біржі. Працівник служби підтримки підтвердив, що спілкування відбувалось з номера телефону, що належить біржі, але електронний лист був справою рук хакера.
«Працівник біржі ідентифікував хакера як співробітника Coinbase, який пізніше вкрав мою криптовалюту. Потім вони почали затягувати цю справу і не бажали нести відповідальність за цей інцидент, хоча я мав свідків, час і дату дзвінка, а також ПІП співробітника, з яким я розмовляв», — повідомив потерпілий. Зараз справа перебуває в суді. Потерпілий стверджує, що загальна сума всіх втрачених активів становить майже $50 000.
Ще одна схема фішингу, пов’язана з двофакторною аутентифікацією
Про ще одну фішингову схему повідомив Джейкоб Кенфілд (Jacob Canfield). 13 червня він отримав текстове повідомлення та телефонні дзвінки від шахрая, який повідомив, що через зміну параметрів двофакторної аутентифікації (2FA) потрібно пройти додаткову процедуру ідентифікації.
«Потім для перевірки мого акаунта вони переадресували мене до команди служби безпеки, щоб уникнути блокування на 48 годин. При цьому вони знали моє ім’я, електронну пошту та місцезнаходження, а також надіслали електронний лист із «кодом підтвердження» з [email protected] на мою особисту електронну пошту», — написав Кенфілд у Twitter, додавши, що злочинець розлютився й кинув слухавку після отримання відмови ввести цей код для продовження процедури.
Твіт про спробу шахрайства з використанням домену Coinbase.com. Джерело: Twitter
Цікавим є те, що електронна адреса [email protected] зазначена на сторінці служби підтримки біржі як офіційна. До того ж ця компанія багато разів різними каналами інформувала своїх користувачів про те, що працівники Coinbase за будь-яких обставин не мають права запитувати будь-які паролі чи 2FA-коди та не потребують віддаленого доступу до клієнтських пристроїв. І тут таке…
Реакція Coinbase
На численні запити користувачів та журналістів Coinbase продовжує відповідати шаблонними відписками про те, що компанія виділила значні ресурси для підвищення рівня безпеки та інформування користувачів про те, як запобігти фішинговим атакам з боку шахраїв. Біржа повідомляє, що співпрацює з міжнародними правоохоронними органами, щоб гарантувати, що будь-яка шахрайська атака на адресу клієнтів Coinbase буде суворо каратися та переслідуватись відповідно до чинного законодавства.
Все як завжди: спасіння тих, хто потопає, — справа рук тих, хто потопає.
Наші рекомендації
Створюйте довгі, надійні та унікальні паролі до кожного окремого облікового запису та періодично їх змінюйте (в ідеалі — раз на квартал). Щоб не забути, їх варто зберігати у спеціальних програмах типу password manager, хоча допоможе і звичайний текстовий файл (*.txt), заархівований з використанням складного паролю. Також обов’язково використовуйте двофакторну аутентифікацію (Google Authenticator чи аналоги) не лише до кожного біржового акаунта, а й електронних скриньок, які підв’язані під ці акаунти.
І ще! Не переходьте за посиланнями з електронних листів, якщо лише ви самі не ініціювали запит до служби підтримки через наявність певної проблеми! Будь-які «ініціативи» з боку бірж чи торгових майданчиків можуть бути спробою шахраїв отримати доступ до ваших цифрових гаманців з метою крадіжки активів.