Neue Phishing-Kampagne gegen Krypto-Persönlichkeiten
Eine neue, ausgeklügelte Phishing-Kampagne richtet sich gegen die X-Konten von Krypto-Persönlichkeiten und verwendet Taktiken, die die Zwei-Faktor-Authentifizierung (2FA) umgehen und dabei glaubwürdiger erscheinen als traditionelle Betrügereien. Laut einem X-Beitrag von Krypto-Entwickler Zak Cole am Mittwoch nutzt diese Phishing-Kampagne die eigene Infrastruktur von X, um die Konten von Krypto-Persönlichkeiten zu übernehmen.
„Null Erkennung. Aktuell aktiv. Vollständige Kontoübernahme,“
erklärte er. Cole betonte, dass der Angriff keine gefälschte Anmeldeseite oder Passwortdiebstahl beinhaltet. Stattdessen nutzt er die Unterstützung der X-Anwendung, um auf das Konto zuzugreifen und gleichzeitig die Zwei-Faktor-Authentifizierung zu umgehen. Der Sicherheitsforscher von MetaMask, Ohm Shah, bestätigte, den Angriff „in freier Wildbahn“ beobachtet zu haben, was auf eine breitere Kampagne hindeutet. Auch ein OnlyFans-Modell wurde von einer weniger ausgeklügelten Version des Angriffs ins Visier genommen.
Glaubwürdige Phishing-Nachricht erstellen
Das bemerkenswerte Merkmal dieser Phishing-Kampagne ist ihre Glaubwürdigkeit und Diskretion. Der Angriff beginnt mit einer X-Direktnachricht, die einen Link enthält, der scheinbar auf die offizielle Google Kalender-Domain umleitet, dank der Art und Weise, wie die Social-Media-Plattform ihre Vorschauen generiert. Im Fall von Cole gab sich die Nachricht als von einem Vertreter der Risikokapitalfirma Andreessen Horowitz aus.
Technische Details der Phishing-Kampagne
Die Domain, auf die die Nachricht verlinkt, ist x(.)ca-lendar(.)com und wurde am Samstag registriert. Dennoch zeigt X in der Vorschau die legitime Adresse calendar.google.com, dank der Metadaten der Seite, die ausnutzen, wie X Vorschauen aus seinen Metadaten generiert.
„Ihr Gehirn sieht Google Kalender. Die URL ist anders.“
Wenn man darauf klickt, leitet das JavaScript der Seite zu einem X-Authentifizierungspunkt weiter, der die Autorisierung für eine App anfordert, um auf Ihr Social-Media-Konto zuzugreifen. Die App scheint „Kalender“ zu sein, aber eine technische Untersuchung des Textes zeigt, dass der Name der Anwendung zwei kyrillische Zeichen enthält, die wie ein „a“ und ein „e“ aussehen, was sie von der tatsächlichen „Kalender“-App im System von X unterscheidet.
Hinweise auf den Phishing-Angriff
Bisher könnte das offensichtlichste Zeichen, dass der Link nicht legitim war, die URL gewesen sein, die kurz erschien, bevor der Benutzer umgeleitet wurde. Dies geschah wahrscheinlich nur für einen Bruchteil einer Sekunde und ist leicht zu übersehen. Dennoch finden wir auf der X-Authentifizierungsseite den ersten Hinweis, dass es sich um einen Phishing-Angriff handelt. Die App fordert eine lange Liste umfassender Berechtigungen zur Kontoverwaltung an, einschließlich dem Folgen und Entfolgen von Konten, dem Aktualisieren von Profilen und Kontoeinstellungen, dem Erstellen und Löschen von Beiträgen sowie dem Interagieren mit Beiträgen anderer. Diese Berechtigungen erscheinen für eine Kalender-App unnötig und könnten ein Hinweis sein, der einen aufmerksamen Benutzer vor dem Angriff bewahrt.
Wenn die Berechtigung erteilt wird, erhalten die Angreifer Zugriff auf das Konto, während die Benutzer einen weiteren Hinweis mit einer Umleitung zu calendly.com erhalten, trotz der Google Kalender-Vorschau.
„Calendly? Sie haben Google Kalender gefälscht, aber leiten zu Calendly um? Großer Sicherheitsfehler. Diese Inkonsistenz könnte die Opfer alarmieren,“
hob Cole hervor. Laut Coles GitHub-Bericht über den Angriff wird empfohlen, die Seite der verbundenen Apps von X zu besuchen, um zu überprüfen, ob Ihr Profil kompromittiert wurde, und die Angreifer aus dem Konto zu entfernen. Dann schlägt er vor, alle Apps mit dem Namen „Kalender“ zu widerrufen.
