Новости Днепра (Днепропетровска) и Днепропетровской области

15 февраля 2018 года

Киберполиция разоблачила масштабную фишинговую кампанию, направленную на пользователей криптовалюты

В конце сентября 2017 года, совместно с работниками подразделения «Talos» компании «Cisco» , киберполиция начала совместное расследование одной из самых больших фишинговых кампаний, направленных на пользователей криптовалюты (операция «Coinhoarder»).

Исходная информация поступила от коллег из «Cisco». При анализе было найдено большое количество доменов, названия которых были очень похожи на оригинальный ресурс онлайн сервиса виртуальных Bitcoin-кошельков: blockchain.info. С полным списком фишинговых ресурсов можно ознакомиться ЗДЕСЬ.

«Заманивание» пользователей происходило с помощью рекламных кампаний Google Adwords. При введении ключевой фразы «blockchain» в поисковой системе Google появлялась ссылка, которая выглядела вполне легитимной:  

Однако после перехода по этой ссылке пользователь попадал на фейковый домен (типа bockchain.info). Домен выглядел аналогичным оригинальному, однако имел другое доменное имя и специально разработанный скрипт от злоумышленников.

Если подробнее, то схема работала следующим образом:

1. Пользователь открывает фейковый сайт.
2. Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info.
   
   С помощью модуля языка программирования Lua в web-сервере Nginx, сразу происходит изменение данных заголовков и в некоторых случаях запрет.
   
   
3. Как только пользователь входит в кошелек, или создает новый, загружая с сайта JavaScript, Nginx на фейковых серверах подменяет его своим.
   
   Указанные функции, при инициализации кошелька отсылают по специальному адресу POST-запрос с данными: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts.
   
   В «accounts» содержатся xpub и xpriv ключи для каждого кошелька. Если же данные кошелька зашифрованные двойным паролем, то он расшифровывает и отправляет эту информацию к себе на сервер. Интересный факт, что двухфакторная аутентификация в этом случае не поможет.
   
   
4. На фейковых серверах работает php-backend, который осуществляет взаимодействие с данными кошельков.

По нашим приблизительным подсчетам только в период с сентября по декабрь 2017 года, используя вышеупомянутый метод, злоумышленники завладели криптовалютой на сумму 700 BTC (на момент написания статьи эта сумма эквивалентна 5 млн. Долларов США). Согласно информации от специалистов по безопасности ресурса blockchain.info, эта фишинговая кампания является одной из самых масштабных за всю историю существования компании. Мы считаем, что эта группа начала свою деятельность еще в конце 2014 года, и за 3 года их общий доход от преступной деятельности может превышать сотни миллионов долларов США.

В 2018 году, деятельность этой группы значительно упала. Связываем это с введением дополнительных правил модерации рекламных сообщений в Google Adwords. Это также подтверждается анализом активности лиц на закрытых форум-площадках, которые предлагают услуги по ведению мошеннических рекламных кампаний.

Специалисты из киберполиции также нашли подтверждение того, что эти злоумышленники причастны к созданию нескольких так называемых HYIP-проектов, таких как: flexibit.bz, verumbtc.com, hashminers.biz, которые являются так называемым «Скамом» (scam).

Кроме того, в последнее время в Украине создается все больше «распиаренных» криптовалютних проектов, которые создают свои криптовалюты и пытаются привлечь инвестиции. В большинстве случаев такие проекты ориентированы на быстрый сбор денежных средств с населения при отсутствии гарантий дохода.

В дальнейшем, существует несколько сценариев развития:

• сообщение о якобы взломе проекта / биржи;
  
• отсутствие роста самой криптовалюты;
  
• банальное исчезновение основателей со всеми средствами.

В связи с этим, рекомендуем более осторожно относиться к инвестициям в подобные проекты.

На данный момент, мы продолжаем отслеживать деятельность еще нескольких групп, которые занимаются похищением криптовалюты, результаты расследований будут представлены в ближайшее время.

Напомним, ранее руководитель украинской киберполиции Сергей Демедюк отмечал необходимость законодательного урегулирования статуса криптовалюты в Украине.

Департамент киберполиции Национальной полиции Украины

По информации Национальной полиции Украины www.npu.gov.ua