在最近觀察到的旨在接管Coinbase帳戶的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中，威脅行為者正在繞過(guò)雙因素身份驗(yàn)證（2FA）并使用其他巧妙的規(guī)避策略，以騙取用戶的加密貨幣余額。

PIXM Software的研究人員發(fā)現(xiàn)，攻擊者正在使用當(dāng)下流行的加密貨幣交易所的電子郵件來(lái)誘騙用戶登錄他們的賬戶，以便他們獲取受害者的登錄憑據(jù)，從而訪問(wèn)賬戶并竊取受害者的資金。

PIXM威脅研究團(tuán)隊(duì)在周四發(fā)布的一篇博文中解釋說(shuō)：“他們通常會(huì)通過(guò)成百上千筆交易，通過(guò)‘Burner’賬戶網(wǎng)絡(luò)自動(dòng)分配這些資金，以混淆原始錢(qián)包和目標(biāo)錢(qián)包?！?/p>

Coinbase是一個(gè)公開(kāi)交易的加密貨幣交易平臺(tái)，自2012年以來(lái)一直存在。它可以說(shuō)是最主流的加密貨幣交易所之一，擁有超過(guò)8900萬(wàn)用戶，因此對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)是一個(gè)非常有吸引力的目標(biāo)。

巧妙的逃避戰(zhàn)術(shù)

研究人員寫(xiě)道，攻擊者采用了一系列策略來(lái)避免被發(fā)現(xiàn)，包括一個(gè)被研究人員稱為“臨時(shí)域”（short lived domains）的策略，即攻擊中使用的域“在極短的時(shí)間內(nèi)保持活躍”，這與典型的網(wǎng)絡(luò)釣魚(yú)行為有所不同。

“我們猜測(cè)，大部分頁(yè)面在互聯(lián)網(wǎng)上的可用時(shí)間不到兩個(gè)小時(shí)，”因此在某些情況下，即便PIXM研究人員收到攻擊警報(bào)，他們也無(wú)法執(zhí)行所需的取證行為。

研究人員指出，在環(huán)境感知和雙因素中繼等其他技術(shù)中，這會(huì)允許攻擊者“阻止窺探者深入他們的網(wǎng)絡(luò)釣魚(yú)基礎(chǔ)設(shè)施”。

根據(jù)PIXM的說(shuō)法，環(huán)境感知是一種尤其隱秘的策略，因?yàn)榕c臨時(shí)域一樣，安全研究人員很難通過(guò)混淆網(wǎng)絡(luò)釣魚(yú)頁(yè)面進(jìn)行事后跟進(jìn)。

這種策略允許攻擊者知道IP、CIDR范圍或區(qū)域，從而可以預(yù)測(cè)他們的一個(gè)或多個(gè)目標(biāo)將要連接的地方。研究人員說(shuō)，然后他們可以在網(wǎng)絡(luò)釣魚(yú)頁(yè)面上創(chuàng)建類似訪問(wèn)控制列表（ACL）的內(nèi)容，以限制僅允許來(lái)自其預(yù)期目標(biāo)的IP、范圍或區(qū)域的連接。

研究人員寫(xiě)道：“即使在網(wǎng)站上線的幾個(gè)小時(shí)內(nèi)檢測(cè)到或報(bào)告了其中一個(gè)頁(yè)面，研究人員也需要謊報(bào)頁(yè)面上的限制才能訪問(wèn)該網(wǎng)站?！?/p>

用于帳戶接管的網(wǎng)絡(luò)釣魚(yú)

攻擊開(kāi)始時(shí)，參與者以Coinbase用戶為目標(biāo)，通過(guò)惡意電子郵件謊稱要進(jìn)行貨幣兌換，使?jié)撛谑芎φ哒J(rèn)為這是合法消息。

研究人員表示，這封電子郵件使用多種理由敦促用戶登錄他們的賬戶，聲稱該賬戶因可疑活動(dòng)而被鎖定，或者存在交易需要確認(rèn)。

與網(wǎng)絡(luò)釣魚(yú)活動(dòng)一樣，如果用戶遵循消息指令，他們會(huì)到達(dá)一個(gè)虛假的登錄頁(yè)面并被提示輸入他們的憑據(jù)。如果發(fā)生這種情況，攻擊者會(huì)實(shí)時(shí)接收憑據(jù)，并使用它們登錄合法的Coinbase網(wǎng)站。

研究人員說(shuō)，這發(fā)生在威脅參與者在攻擊結(jié)構(gòu)中使用雙因素中繼來(lái)繞過(guò)Coinbase平臺(tái)中內(nèi)置的MFA的時(shí)候。

攻擊者的行為促使Coinbase向受害者發(fā)送2FA代碼，受害者認(rèn)為該通知是通過(guò)在虛假登錄頁(yè)面中輸入憑據(jù)來(lái)提示的。一旦用戶將2FA代碼輸入到虛假網(wǎng)站，攻擊者立即接收并登錄合法賬戶，從而獲得賬戶控制權(quán)。

將資金轉(zhuǎn)移給威脅行為者

一旦威脅者可以訪問(wèn)該帳戶，他或她就會(huì)通過(guò)大量交易將用戶的資金轉(zhuǎn)移到上述帳戶網(wǎng)絡(luò)，以逃避檢測(cè)或避免引起懷疑。

“這些資金也經(jīng)常通過(guò)不受監(jiān)管的非法在線加密服務(wù)被挪用，如加密貨幣賭場(chǎng)、投注應(yīng)用程序和非法在線市場(chǎng)，”研究人員補(bǔ)充說(shuō)。

此時(shí)不知情的受害者會(huì)看到一條消息，通知他們，他們的帳戶已被鎖定或限制——這與引發(fā)整個(gè)惡意交易的初始網(wǎng)絡(luò)釣魚(yú)電子郵件不同。系統(tǒng)會(huì)提示他們與客服聊天以解決問(wèn)題，并且頁(yè)面右上角會(huì)出現(xiàn)一個(gè)聊天框供他們執(zhí)行此操作。

該提示實(shí)際上是攻擊的第二階段，其中威脅行為者冒充Coinbase員工幫助該用戶恢復(fù)他或她的帳戶，要求提供各種個(gè)人和帳戶信息。然而，研究人員說(shuō)，實(shí)際上，攻擊者正在爭(zhēng)取時(shí)間，以便他們能夠在受害者懷疑之前完成資金轉(zhuǎn)移。

“他們正在使用這個(gè)聊天會(huì)話來(lái)讓受害人在轉(zhuǎn)移資金時(shí)被占用和分心（受害者在被轉(zhuǎn)移資金時(shí)可能會(huì)收到Coinbase的潛在電子郵件或短信），”他們寫(xiě)道。

他們說(shuō)，一旦資金轉(zhuǎn)移完成，攻擊者將突然關(guān)閉聊天會(huì)話并關(guān)閉網(wǎng)絡(luò)釣魚(yú)頁(yè)面，這讓Coinbase用戶感到困惑并很快意識(shí)到自己被欺騙了。

本文翻譯自：https://threatpost.com/phishers-2fa-coinbase/180356/如若轉(zhuǎn)載，請(qǐng)注明原文地址。