Як крадуть біткоїни? Схеми, на які трапляються навіть досвідчені користувачі
Більшість із різних схем шахрайства та злому гаманців побудовано на соціальній інженерії, неуважності та довірливості користувачів. Є звичайні фішингові атаки, заміни букв у браузері та несумлінна реклама. Але іноді скамери працюють набагато тонше.
У цій статті розглянемо зломи биткоин гаманців та схеми, які потрібно знати заздалегідь, щоб не потрапити.
Акуратніше з оновленнями
Показовим є приклад гаманця Electrum для біткоїну. Хакери в одній з атак заробили понад 200 біткоїнів через втручання в інфраструктуру програми.
У цій атаці даний Electrum на комп'ютері виводив повідомлення для користувачів про те, що потрібно завантажити оновлення. При цьому посилання з повідомлення йшло на інший репозиторій GitHub, який належав шахраям. Користувачі завантажували інший гаманець, який крав дані. Атаку було зупинено лише коли адміністрація GitHub видалила репозиторій хакерів.
Хакери додали десятки серверів у мережу гаманців. Користувачі справжніх гаманців Electrum ініціюють біткойн-транзакцію. Якщо транзакція досягає одного зі шкідливих серверів, ці сервери відповідають повідомленням про помилку, яке закликає користувачів завантажити оновлення гаманця з підставного GitHub.
Користувач завантажує програму. Воно запитує код двофакторної автентифікації. Ця дія має викликати підозру, оскільки коди 2FA потрібні лише перед відправкою коштів, а не на етапі запуску. Гаманець використовує цей код для крадіжки коштів: транзакція йде на гаманець хакера.
Хакери в одній з атак заробили понад 200 біткоїнів, зламавши сервера electrum
Вікно виглядало дуже офіційно, тому що Electrum відображав серверні повідомлення у вигляді форматованих текстів. Після атаки розробники прибрали цю нагоду.
Мораль: не оновлюйте гаманець, не перевіривши офіційну заяву від постачальника програми. Також перевіряйте офіційну сторінку на GitHub або офіційний сайт, щоб оновлення було справді легітимним. Зламування биткоин-гаманців часто проходить через підміну посилань.
Перехоплення на сторонніх сервісах
Coinomi відправляв сид-фразу до сервісу перевірки орфографії від Google. Це непорозуміння могло коштувати власникам усіх грошей, що лежали на гаманці. Такий тип атак називається "людина посередині" (MitM).
Coinomi написаний на Java, а інтерфейс користувача розроблений з використанням HTML / JavaScript. Він візуалізується через вбудований браузер на основі Chromium. Будь-яка програма на Chromium інтегрована з різними функціями Google, у тому числі функція автоматичної перевірки орфографії для всіх текстових полів.
Розробники Coinomi не відключили цю функцію у коді свого гаманця. Потенційно, хакери могли стати посередині і перехопити фразу від гаманця. Наприклад, це можна зробити за допомогою загальнодоступного Wi-Fi. Таким чином вже атакували мережу Старбакса, використовуючи її для завантаження програмного забезпечення для прихованого майнінгу.
Мораль: seed-фраза – найдорожче, що є у власника криптовалюти. У жодному вигляді і випадку вона не повинна передаватися кудись або відображатися, зберігатися, шифруватися на стороні. Розробники будь-якої криптовалютної програми повинні враховувати цей момент.
Розширення в Chrome
Троян у розширенні Chrome міг замінювати пошук, оновлювати браузер та зливати дані з метою крадіжки криптовалюти.
Трояна Razy було знайдено «Лабораторією Касперського», Trojan.Win32.Razy.gen. Цей файл розповсюджувався через рекламу на веб-сайтах і хостингах.
Він міг працювати з Google Chrome, Mozilla Firefox та Яндекс, залежно від браузера він вибирав сценарій зараження.
Razy може встановлювати шкідливі розширення для браузера, але також може заражати вже встановлені розширення. Вони відключалися від перевірки цілісності та автоматичного оновлення.
Більшість функцій зводилося до пошуку адреси гаманця криптовалюти та їхньої заміни. Також вони можуть підробляти як зображення, так і QR-коди, які приховують гаманці, а також змінювати веб-сторінки фішингових криптобірж.
Razy також може підробляти результати пошуку Google та Yandex, щоб користувачі зайшли на шкідливі сторінки. Троянець часто підробляє результати, пов'язані з криптовалютою. Ціль — змусити користувача передати свої облікові дані. Наприклад, через рекламу airdrop'у або розпродаж на ICO.
Мораль: кожне розширення може загрожувати безпеці. Подумайте, чи так воно потрібне і наскільки можна довіряти постачальнику.
Атаки на Docker
Дослідники знайшли тисячі Docker-контейнерів, через які можна заразити комп'ютер, використовувати його для незаконного майнінгу або красти біткоїни. Якщо механізми керування відкриті, контейнер та програма можуть бути скомпрометовані.
Imperva повідомили про вразливість CVE-2019-5736. Вони використовували пошукову систему Shodan, щоб знайти відкриті порти, на яких запущено Docker, і скільки з них було вразливим для атак.
Більшість атак були налаштовані на прихований майнінг Monero. Але це не єдиний потенційний наслідок атаки через Docker. Систему можна підключити до ботнету, вкрасти дані, використовувати для атаки на внутрішню мережу та використовувати для створення хост-служб у фішингу.
Мораль: Розробник повинен пам'ятати про безпеку даних. Доступ до різних серивіс повинен бути органічний тільки довіреними джерелами. Краще зберігати криптовалюту на іншому пристрої, який рідко звертається до інтернету.
Найповніші звіти, у тому числі цікаві дослідження про хакерські групи, публікують Chainalysis та CipherTrace. Наприклад, через них громадськість дізналася про найбільші угруповання, які зламують биткоин-гаманці та біржі, Альфа та Бета. Також є припущення, як вони проводять гроші через блокчейни.
0 Комментарии