网络钓鱼者在 Coinbase 帐户抢劫中游过 2FA

攻击者正在欺骗广泛使用的加密货币交易所来欺骗用户登录，以便他们可以窃取他们的凭据并最终窃取他们的资金。

在最近观察到的旨在接管 Coinbase 帐户的网络钓鱼活动中，威胁参与者正在绕过双因素身份验证 (2FA) 并使用其他巧妙的规避策略，以骗取用户的加密货币余额。

PIXM Software的研究人员发现，攻击者正在使用欺骗流行的加密货币交易所的电子邮件来诱骗用户登录他们的账户，以便他们可以访问这些账户并窃取受害者的资金。

PIXM 威胁研究团队在一篇博文中解释说：“他们通常会通过成百上千笔交易以自动化方式通过‘燃烧器’账户网络分配这些资金，以努力从目标钱包中混淆原始钱包。”周四发布。 Coinbase 是一个公开交易的加密货币交易平台，自 2012 年以来一直存在。它可以说是最主流的加密货币交易所之一，拥有超过 8900 万用户，因此是网络犯罪分子的一个有吸引力的目标。

巧妙的逃避战术

研究人员写道，攻击者采用了一系列策略来避免检测，包括一个研究人员称之为“短命域”——攻击中使用的域“在极短的时间内保持活跃”——这与典型的网络钓鱼行为有所不同。

“我们估计大部分网页在互联网上的可用时间不到两个小时”，在某些情况下，一旦 PIXM 研究人员收到攻击警报，他们甚至无法执行所需的取证。

研究人员指出，这与上下文感知和 2 因素中继等其他技术一起，允许攻击者“防止窥探者深入他们的网络钓鱼基础设施”。

根据 PIXM 的说法，上下文感知尤其是一种隐秘的策略，因为与短命域一样，安全研究人员很难通过混淆网络钓鱼页面进行事后跟进。

这种策略允许攻击者知道他们预计他们的一个或多个目标将从其连接的 IP、CIDR 范围或地理位置。研究人员说，然后他们可以在网络钓鱼页面上创建类似访问控制列表 (ACL) 的内容，以限制仅允许来自其预期目标的 IP、范围或区域的连接。

研究人员写道：“即使在网站上线的几个小时内检测到或报告了其中一个页面，研究人员也需要欺骗页面上的限制才能访问该网站。”

用于帐户接管的网络钓鱼

这些攻击始于攻击者使用恶意电子邮件针对 Coinbase 用户，该电子邮件欺骗了货币兑换，因此潜在的受害者认为这是一条合法的消息。

研究人员表示，这封电子邮件使用各种理由敦促用户登录他或她的账户，声称它要么因可疑活动而被锁定，要么交易需要确认。

与网络钓鱼活动一样，如果用户遵循消息指令，他们会到达一个虚假的登录页面并被提示输入他们的凭据。如果发生这种情况，攻击者会实时接收凭据，并使用它们登录合法的 Coinbase 网站。

研究人员说，这是威胁参与者在攻击结构中使用 2 因素中继来绕过Coinbase 平台中内置的 MFA 的时候。

攻击者的行为促使 Coinbase 向受害者发送 2FA 代码，受害者认为该通知是通过在虚假登录页面中输入凭据来提示的。一旦用户将 2FA 代码输入到虚假网站，攻击者立即接收并登录合法账户，从而获得账户控制权。

将资金转移给威胁行为者

一旦威胁者可以访问该帐户，他或她就会通过大量交易将用户的资金转移到上述帐户网络，以逃避检测或引起怀疑。

“这些资金也经常通过不受监管的非法在线加密服务盗用，例如加密货币赌场、博彩应用程序和非法在线市场，”研究人员补充说。

同时，此时不知情的受害者会看到一条消息，通知他们他或她的帐户已被锁定或限制——这与引发整个恶意交易的初始网络钓鱼电子邮件不同。系统会提示他们与客户服务聊天以解决问题，并且页面右上角会出现一个聊天框供他们执行此操作。

该提示实际上是攻击的第二阶段，其中威胁行为者冒充 Coinbase 员工帮助该人恢复他或她的帐户，要求提供各种个人和帐户信息。然而，研究人员说，实际上，攻击者正在争取时间，以便他们能够在受害者变得可疑之前完成资​​金转移。

他们写道：“他们正在使用这个聊天会话来让目标在转移资金时保持忙碌和分心（从他们可能从 Coinbase 收到的潜在电子邮件或文本中转移资金）。”

他们说，一旦资金转移完成，攻击者将突然关闭聊天会话并关闭网络钓鱼页面，让 Coinbase 用户感到困惑并很快意识到他或她已被完全欺骗。