Сложная фишинговая кампания нацелена на криптоперсон
Недавняя сложная фишинговая кампания нацелена на аккаунты криптоперсон в X, используя тактики, которые обходят двухфакторную аутентификацию и выглядят более правдоподобно, чем традиционные мошенничества. Согласно посту крипторазработчика Зака Коула в X в среду, новая фишинговая кампания использует инфраструктуру X для захвата аккаунтов криптоперсон.
«Ноль обнаружений. Активно прямо сейчас. Полный захват аккаунта,» — отметил он.
Коула подчеркнул, что атака не включает поддельную страницу входа или кражу паролей. Вместо этого она использует поддержку приложения X для получения доступа к аккаунту, обходя двухфакторную аутентификацию. Исследователь безопасности MetaMask Охм Шах подтвердил, что наблюдал атаку «в дикой природе», что предполагает более широкую кампанию. Модель OnlyFans также стала жертвой менее сложной версии этой атаки.
Методы фишинга и их реализация
Создание правдоподобного фишингового сообщения является одной из ключевых особенностей данной кампании. Атака начинается с прямого сообщения в X, содержащее ссылку, которая, кажется, перенаправляет на официальный домен Google Calendar, благодаря тому, как социальная сеть генерирует свои превью. В случае Коула сообщение притворялось, что пришло от представителя венчурной капитальной фирмы Andreessen Horowitz.
Домен, на который ссылается сообщение, — x(.)ca-lendar(.)com, был зарегистрирован в субботу. Тем не менее, X показывает легитимный calendar.google.com в превью благодаря метаданным сайта, использующим способ, которым X генерирует превью из своих метаданных.
«Ваш мозг видит Google Calendar. URL отличается.»
При нажатии на ссылку JavaScript страницы перенаправляет на конечную точку аутентификации X, запрашивая разрешение для приложения на доступ к вашему аккаунту в социальных сетях. Приложение кажется «Календарем», но техническое исследование текста показывает, что имя приложения содержит два кириллических символа, похожих на «а» и «е», что отличает его от настоящего приложения «Календарь» в системе X.
Как распознать фишинговую атаку
На данный момент самым очевидным признаком того, что ссылка не является легитимной, может быть URL, который кратковременно появляется перед тем, как пользователь будет перенаправлен. Это, вероятно, появлялось всего на долю секунды и легко пропустить. Тем не менее, на странице аутентификации X мы находим первую подсказку о том, что это фишинговая атака.
Приложение запрашивает длинный список обширных разрешений на контроль над аккаунтом, включая подписку и отписку от аккаунтов, обновление профилей и настроек аккаунта, создание и удаление постов, взаимодействие с постами других и многое другое. Эти разрешения кажутся ненужными для приложения календаря и могут стать подсказкой, которая спасет внимательного пользователя от атаки.
Если разрешение предоставлено, злоумышленники получают доступ к аккаунту, так как пользователи получают еще одну подсказку с перенаправлением на calendly.com, несмотря на превью Google Calendar.
«Calendly? Они подделали Google Calendar, но перенаправляют на Calendly? Серьезная ошибка в операционной безопасности. Это несоответствие может насторожить жертв,» — подчеркнул Коула.
Согласно отчету Коула на GitHub о атаке, чтобы проверить, был ли ваш профиль скомпрометирован и выгнать злоумышленников из аккаунта, рекомендуется посетить страницу подключенных приложений X. Затем он предлагает отозвать любые приложения с названием «Календарь.»
