Cómo los phishers de Coinbase roban contraseñas de un solo uso – Krebs on Security


Una campaña de phishing reciente dirigida Coinbase Los usuarios muestran que los ladrones se están volviendo más inteligentes sobre el phishing de contraseñas de un solo uso (OTP) necesarias para completar el proceso de inicio de sesión. También muestra que los phishers están intentando registrarse en nuevas cuentas de Coinbase por millones como parte de un esfuerzo por identificar direcciones de correo electrónico que ya están asociadas con cuentas activas.

Una versión traducida por Google del ahora desaparecido sitio de phishing Coinbase, coinbase.com.password-reset[.]con

Coinbase es el segundo intercambio de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países. El ahora desaparecido dominio de phishing en cuestión: coinbase.com.password-reset[.]con – estaba dirigido a usuarios italianos de Coinbase (el idioma predeterminado del sitio era el italiano). Y fue bastante exitoso, según Alex Holden, fundador de la empresa de ciberseguridad con sede en Milwaukee Mantenga la seguridad.

El equipo de Holden logró mirar dentro de algunos directorios de archivos mal ocultos asociados con ese sitio de phishing, incluida su página de administración. Ese panel, que se muestra en la captura de pantalla redactada a continuación, indicó que los ataques de phishing obtuvieron al menos 870 conjuntos de credenciales antes de que el sitio fuera desconectado.

El panel de phishing de Coinbase.

Holden dijo que cada vez que una nueva víctima presentaba sus credenciales en el sitio de phishing de Coinbase, el panel administrativo emitía un fuerte «ding», presumiblemente para alertar a quienquiera que estuviera en el teclado en el otro extremo de esta estafa de phishing de que tenían una en vivo en el gancho.

En cada caso, los phishers presionarían manualmente un botón que hacía que el sitio de phishing solicitara a los visitantes más información, como la contraseña de un solo uso de su aplicación móvil.

«Estos tipos tienen la capacidad en tiempo real de solicitar cualquier información de la víctima que necesiten para ingresar a su cuenta de Coinbase», dijo Holden.

Al presionar el botón «Enviar información», se pedía a los visitantes que proporcionaran información personal adicional, incluido su nombre, fecha de nacimiento y dirección postal. Armados con el número de teléfono móvil del objetivo, también pueden hacer clic en «Enviar SMS de verificación» con un mensaje de texto que les pide que envíen un mensaje de texto con un código de un solo uso.

CERRAR COINBASE PARA USUARIOS ACTIVOS

Holden dijo que el grupo de phishing parece haber identificado a los usuarios italianos de Coinbase al intentar registrar nuevas cuentas con las direcciones de correo electrónico de más de 2,5 millones de italianos. Su equipo también logró recuperar los datos de nombre de usuario y contraseña que las víctimas enviaron al sitio, y prácticamente todas las direcciones de correo electrónico enviadas terminaron en «.it».

Pero los phishers en este caso probablemente no estaban interesados ​​en registrar ninguna cuenta. Más bien, los malos entendieron que cualquier intento de registrarse utilizando una dirección de correo electrónico vinculada a una cuenta de Coinbase existente fallaría. Después de hacer eso varios millones de veces, los phishers tomarían las direcciones de correo electrónico que fallaron en el registro de nuevas cuentas y las apuntaron con correos electrónicos de phishing con temas de Coinbase.

Los datos de Holden muestran que esta banda de phishing realizó cientos de miles de intentos de registro de cuentas a medias a diario. Por ejemplo, el 10 de octubre, los estafadores comprobaron más de 216.000 direcciones de correo electrónico en los sistemas de Coinbase. Al día siguiente, intentaron registrar 174.000 nuevas cuentas de Coinbase.

En una declaración enviada por correo electrónico compartida con KrebsOnSecurity, Coinbase dijo que toma «amplias medidas de seguridad para garantizar que nuestra plataforma y las cuentas de los clientes permanezcan lo más seguras posible». Aquí está el resto de su declaración:

“Como todas las principales plataformas en línea, Coinbase ve intentos de ataques automatizados realizados de manera typical. Coinbase puede neutralizar automáticamente la inmensa mayoría de estos ataques, utilizando una combinación de modelos internos de aprendizaje automático y asociaciones con proveedores líderes en la industria de detección de bots y prevención de abuso. Ajustamos continuamente estos modelos para bloquear nuevas técnicas a medida que las descubrimos. Los equipos de Inteligencia de Amenazas y Confianza y Seguridad de Coinbase también trabajan para monitorear nuevas técnicas de abuso automatizado, desarrollar y aplicar mitigaciones y perseguir agresivamente derribos contra infraestructura maliciosa. Reconocemos que los atacantes (y las técnicas de ataque) seguirán evolucionando, por lo que adoptamos un enfoque de varios niveles para combatir el abuso automatizado «.

El mes pasado, Coinbase divulgado que los piratas informáticos malintencionados robaron criptomonedas de 6.000 clientes después de utilizar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la empresa.

«Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban saber la dirección de correo electrónico del cliente, la contraseña y el número de teléfono asociado con su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima», dijo Bleeping Laptop. Lawrence Abrams escribió. «Si bien se desconoce cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que fue a través de campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas, que se han vuelto comunes».

Este esquema de phishing es otro ejemplo de cómo los delincuentes están ideando métodos cada vez más ingeniosos para eludir las opciones de autenticación multifactor populares, como las contraseñas de un solo uso. El mes pasado, KrebsOnSecurity destacó la investigación de varios servicios nuevos basados ​​en bots basados ​​en Telegram que facilitan relativamente a los delincuentes el phishing de OTP de objetivos mediante llamadas telefónicas automatizadas y mensajes de texto. Todos estos servicios de phishing de OTP suponen que el cliente ya tiene las credenciales de inicio de sesión del objetivo. a través de algunos medios, como a través de un sitio de phishing como el que se examina en esta historia.

Los lectores expertos aquí sin duda ya saben esto, pero para encontrar el verdadero dominio al que se hace referencia en un enlace, mire a la derecha de “http (s): //” hasta que encuentre la primera barra (/). El dominio directamente a la izquierda de esa primera barra es el verdadero destino Todo lo que precede al segundo punto a la izquierda de la primera barra es un subdominio y debe ignorarse para determinar el verdadero nombre de dominio.

En el dominio de phishing en cuestión aquí: coinbase.com.password-reset[.]con – restablecimiento de contraseña[.]com es el dominio de destino y «coinbase.com» es solo un subdominio arbitrario de restablecimiento de contraseña[.]com. Sin embargo, cuando se visualiza en un dispositivo móvil, es posible que muchos visitantes de dicho dominio solo vean la parte del subdominio de la URL en la barra de direcciones de su navegador móvil.

El mejor consejo para evitar las estafas de phishing es evitar hacer clic en los enlaces que llegan espontáneamente en correos electrónicos, mensajes de texto u otros medios. La mayoría de las estafas de phishing invocan un elemento temporal que advierte de las graves consecuencias si no responde o actúa rápidamente. Si no está seguro de si el mensaje es legítimo, respire hondo y visite el sitio o el servicio en cuestión manualmente lo perfect es que utilice un marcador del navegador para evitar posibles sitios con errores tipográficos.

Además, nunca proporcione ninguna información en respuesta a una llamada telefónica no solicitada. No importa quién dice estar llamando: si no inició el contacto, cuelgue. No los ponga en espera mientras llama a su banco los estafadores también pueden evitar eso. Solo cuelga. Entonces puede llamar a su banco o a cualquier otro lugar que necesite.

Por cierto, ¿cuándo fue la última vez que revisó sus configuraciones y opciones de múltiples factores en los distintos sitios internet a los que se les ha confiado su información particular y financiera más valiosa? Podría valer la pena visitar 2fa.directorio (anteriormente dos factorauth[.]org) para un chequeo.



Enlace a la noticia original