Хакеры украли $10 млн в Ethereum с помощью социальной инженерии
Москва, 13 июля - "Вести.Экономика"
Специалисты по компьютерной безопасности из «Лаборатории Касперского» обнаружили, что за последний год злоумышленникам удалось заполучить более 21 000 ETH с помощью социальной инженерии.
Кроме взлома криптовалютных бирж, эксплуатации уязвимостей в смарт-контрактах и использования зловредов-майнеров, преступники прибегают также к классическим методам социальной инженерии, приносящим им миллионы долларов. Их целью являются не только владельцы криптовалютных кошельков, но и все те, кто интересуется этой темой, сообщают эксперты "Лаборатории Касперского".
В основе работы криптовалют лежит ассиметричное шифрование с публичным и приватным ключами. Адрес кошелька, на который может перевести деньги любой желающий, можно сгенерировать из открытого ключа, который, в свою очередь, получается из закрытого (приватного). Приватный ключ требуется для совершения любых операций, и, разумеется, именно он интересует мошенников. Хотя надо сказать, что злоумышленники охотятся не только за приватным ключом жертвы: часто их цель — заставить пользователя собственноручно перевести средства на их счета.
Чаще всего жертвами мошенников становятся инвесторы, желающие принять участие в ICO. Чтобы обмануть их, злоумышленники создают фейковые веб-сайты и рассылают фишинговые письма, в которых указывают адреса для перевода средств. В качестве примера одной из мошеннических схем в докладе упоминается ICO Switcheo. Злоумышленники, разместившие сообщение от имени проекта в Twitter, смогли похитить свыше $25 000 в криптовалюте.
Еще один риск потери денег — взлом криптобиржи с последующим похищением средств пользователей. Так, например, недавно проблемы возникли у крупнейшей южнокорейской биржи Bithumb: сервис остановил проведение всех операций, сообщив о краже $32 млн. А в конце прошлого года после похищения 17% всех активов свою деятельность прекратил другой криптовалютный биржевой сервис — Youbit.
Для приобретения и обмена криптовалют используются биржи. Они же предоставляют услуги по хранению цифровых денег, генерируя пользователю отдельный кошелек для каждой из валют и держа приватные ключи на свои серверах. Естественно, если мошеннику удастся заполучить аутентификационные данные от биржевого аккаунта, он получит доступ и к деньгам пользователя. Этим объясняется обилие фишинговых ресурсов, имитирующих страницы авторизации популярных криптовалютных бирж. Такие сайты обычно очень хорошо оформлены и практически неотличимы от оригинальных, если не считать URL-адрес.
Другой вектор атаки — поддельное ПО для хранения криптовалюты, которое распространяется через официальные магазины приложений. Такие программы нередко выходят в топы по скачиваниям, как в случае с фейковым мобильным приложением Myetherwallet, ставшим третьим по популярности в App Store в категории “Финансовые приложения”.
«Лаборатория Касперского» также упоминает «бесплатные раздачи» криптовалюты, в ходе которых инвесторам предлагается отправить свои средства на указанный адрес, чтобы получить в 2 раза большую сумму. Обычно злоумышленники прикрываются именами известных личностей, например Павла Дурова или Илона Маска. Последний недавно сам обратил внимание на проблему и поинтересовался, кто за этим стоит. По некоторым подсчетам, суммарно различным киберпреступникам с помощью выманивания средств у доверчивых пользователей микроблога удалось собрать уже порядка $4,9M.
По словам ведущего аналитика веб-контента «Лаборатории Касперского» Надежды Демидовой, многие пользователи предпочитают хранить валюту в отдельных кошельках, которые можно разделить на два вида: онлайн и офлайн (десктопные, аппаратные и бумажные). Использование онлайн-кошелька не безопаснее хранения активов в кошельке биржи: вы доверяете приватный ключ третьей стороне и не контролируете его. Самыми надежными считаются аппаратные криптокошельки, которые представляют собой физическое устройство, которое генерирует и хранит в своей памяти неизвлекаемый закрытый ключ. При проведении транзакции все необходимые операции происходят внутри кошелька, и наружу выдается только электронная подпись.
Способы получения доступа к онлайн-кошельку жертвы не отличаются от классического фишинга — мошенники создают страницы, имитирующие страницу аутентификации на сайте сервиса. Ссылки на поддельные ресурсы чаще всего распространяются по электронной почте со стандартными угрозами блокировки аккаунта или о необычной активности в нем. Главное — пользователю нужно “пройти идентификацию” для предотвращения пропажи средств.
Демидова также отмечает, что шаблоны мошеннических действий постоянно эволюционируют, и защититься от них не так просто. При этом, по ее мнению, сфера криптовалют для преступников весьма привлекательна и прибыльна.
Специалисты по компьютерной безопасности из «Лаборатории Касперского» обнаружили, что за последний год злоумышленникам удалось заполучить более 21 000 ETH с помощью социальной инженерии.
Кроме взлома криптовалютных бирж, эксплуатации уязвимостей в смарт-контрактах и использования зловредов-майнеров, преступники прибегают также к классическим методам социальной инженерии, приносящим им миллионы долларов. Их целью являются не только владельцы криптовалютных кошельков, но и все те, кто интересуется этой темой, сообщают эксперты "Лаборатории Касперского".
В основе работы криптовалют лежит ассиметричное шифрование с публичным и приватным ключами. Адрес кошелька, на который может перевести деньги любой желающий, можно сгенерировать из открытого ключа, который, в свою очередь, получается из закрытого (приватного). Приватный ключ требуется для совершения любых операций, и, разумеется, именно он интересует мошенников. Хотя надо сказать, что злоумышленники охотятся не только за приватным ключом жертвы: часто их цель — заставить пользователя собственноручно перевести средства на их счета.
Чаще всего жертвами мошенников становятся инвесторы, желающие принять участие в ICO. Чтобы обмануть их, злоумышленники создают фейковые веб-сайты и рассылают фишинговые письма, в которых указывают адреса для перевода средств. В качестве примера одной из мошеннических схем в докладе упоминается ICO Switcheo. Злоумышленники, разместившие сообщение от имени проекта в Twitter, смогли похитить свыше $25 000 в криптовалюте.
Еще один риск потери денег — взлом криптобиржи с последующим похищением средств пользователей. Так, например, недавно проблемы возникли у крупнейшей южнокорейской биржи Bithumb: сервис остановил проведение всех операций, сообщив о краже $32 млн. А в конце прошлого года после похищения 17% всех активов свою деятельность прекратил другой криптовалютный биржевой сервис — Youbit.
Для приобретения и обмена криптовалют используются биржи. Они же предоставляют услуги по хранению цифровых денег, генерируя пользователю отдельный кошелек для каждой из валют и держа приватные ключи на свои серверах. Естественно, если мошеннику удастся заполучить аутентификационные данные от биржевого аккаунта, он получит доступ и к деньгам пользователя. Этим объясняется обилие фишинговых ресурсов, имитирующих страницы авторизации популярных криптовалютных бирж. Такие сайты обычно очень хорошо оформлены и практически неотличимы от оригинальных, если не считать URL-адрес.
Другой вектор атаки — поддельное ПО для хранения криптовалюты, которое распространяется через официальные магазины приложений. Такие программы нередко выходят в топы по скачиваниям, как в случае с фейковым мобильным приложением Myetherwallet, ставшим третьим по популярности в App Store в категории “Финансовые приложения”.
«Лаборатория Касперского» также упоминает «бесплатные раздачи» криптовалюты, в ходе которых инвесторам предлагается отправить свои средства на указанный адрес, чтобы получить в 2 раза большую сумму. Обычно злоумышленники прикрываются именами известных личностей, например Павла Дурова или Илона Маска. Последний недавно сам обратил внимание на проблему и поинтересовался, кто за этим стоит. По некоторым подсчетам, суммарно различным киберпреступникам с помощью выманивания средств у доверчивых пользователей микроблога удалось собрать уже порядка $4,9M.
По словам ведущего аналитика веб-контента «Лаборатории Касперского» Надежды Демидовой, многие пользователи предпочитают хранить валюту в отдельных кошельках, которые можно разделить на два вида: онлайн и офлайн (десктопные, аппаратные и бумажные). Использование онлайн-кошелька не безопаснее хранения активов в кошельке биржи: вы доверяете приватный ключ третьей стороне и не контролируете его. Самыми надежными считаются аппаратные криптокошельки, которые представляют собой физическое устройство, которое генерирует и хранит в своей памяти неизвлекаемый закрытый ключ. При проведении транзакции все необходимые операции происходят внутри кошелька, и наружу выдается только электронная подпись.
Способы получения доступа к онлайн-кошельку жертвы не отличаются от классического фишинга — мошенники создают страницы, имитирующие страницу аутентификации на сайте сервиса. Ссылки на поддельные ресурсы чаще всего распространяются по электронной почте со стандартными угрозами блокировки аккаунта или о необычной активности в нем. Главное — пользователю нужно “пройти идентификацию” для предотвращения пропажи средств.
Демидова также отмечает, что шаблоны мошеннических действий постоянно эволюционируют, и защититься от них не так просто. При этом, по ее мнению, сфера криптовалют для преступников весьма привлекательна и прибыльна.