它还表明,网络钓鱼攻击者正试图注册数百万个新的 Coinbase 帐户,以找出与活跃帐户绑定的电邮地址。Coinbase 是世界第二大加密货币交易所,拥有来自 100 多个国家的约 6800 万名用户。现已失效的钓鱼网站 coinbase.com.password-reset[.]com(网站的默认语言是意大利语)针对的是意大利 Coinbase 用户。网络安全公司 Hold Security 的创始人 Alex Holden 认为,这个网站可以说相当成功。
他的团队设法发现了钓鱼网站的部分文件目录(目录文件隐藏得很糟糕),其中包括网站的管理页面。如屏幕截图所示,在网站下线之前,网络钓鱼攻击者至少捕获了 870 组凭据。每当有新受害者在钓鱼网站上提交凭据,管理面板都会发出一声响亮的“叮”——大概是为了提醒在网络另一端操纵骗局的人,又有新的“鱼”上钩了。每到这个时候,网络钓鱼攻击者就会手动按下一个按钮,让钓鱼网站向访问者询问更多信息,例如他们在移动应用程序上收到的一次性密码。Holden 表示:“这些人有能力从受害者那里实时索取进入其 Coinbase 帐户所需的任何信息。”按“发送信息”按钮会提示访问者提供其他的个人信息,包括他们的姓名、出生日期和街道地址。有了目标的手机号码,他们还可以点击“发送验证短信”按钮发送一条短信,要求访问者发回一次性密码。这个网络钓鱼组织似乎尝试过用超过 250 万意大利人的电子邮件地址来注册新的 Coinbase 账户,他们用这种方式找出意大利的 Coinbase 用户。他的团队设法恢复了受害者提交给网站的用户名和密码数据,几乎所有提交的电子邮件地址都以“.it”结尾。
此案的网络钓鱼攻击者可能没兴趣注册任何账户。他们知道用任何同现有 Coinbase 帐户绑定的电子邮件地址进行注册都会失败。在尝试了几百万次之后,钓鱼攻击者将新账户注册失败的电子邮件地址收集起来,并给这些邮件地址发送以 Coinbase 为主题的钓鱼电子邮件。Holden 的数据显示,该网络钓鱼团伙采用广撒网的方式,每天会进行数十万次的账户注册尝试。例如,在 10 月 10 日,骗子在Coinbase 的系统中检查了超过 216,000 个电邮地址。第二天他们又尝试注册 174,000 个新账户。
