Ny phishingkampagne målretter kryptovaluta-personligheder
En ny sofistikeret phishingkampagne målretter X-konti tilknyttet kryptovaluta-personligheder og anvender taktikker, der omgår to-faktor-autentifikation (2FA) og fremstår mere troværdige end traditionelle svindelnumre. Ifølge et indlæg på X fra kryptoudvikleren Zak Cole udnytter den nye phishingkampagne X’s egen infrastruktur til at overtage konti tilknyttet kryptovaluta-personligheder.
“Zero detection. Aktiv lige nu. Fuld kontoovertagelse,”
sagde han. Cole fremhævede, at angrebet ikke involverer en falsk login-side eller stjæler adgangskoder. I stedet udnytter det X-applikationssupport til at få adgang til kontoen, samtidig med at det omgår to-faktor-autentifikation. MetaMask-sikkerhedsforsker Ohm Shah bekræftede at have set angrebet “i det vilde”, hvilket tyder på en bredere kampagne, og en OnlyFans-model blev også målrettet af en mindre sofistikeret version af angrebet.
At skabe en troværdig phishingbesked
Den bemærkelsesværdige funktion ved phishingkampagnen er, hvor troværdig og diskret den er. Angrebet begynder med en direkte besked på X, der indeholder et link, som ser ud til at omdirigere til det officielle Google Calendar-domæne, takket være den måde, sociale medieplatformen genererer sine forhåndsvisninger. I Coles tilfælde foregav beskeden at komme fra en repræsentant for venturekapitalfirmaet Andreessen Horowitz.
Annonce
Offline betyder urørlig. Med NGRAVE, oplev ren, kold sikkerhed for din Bitcoin, NFTs & tokens. —> Spar 10% med COINTELEGRAPH-koden.
Det domæne, som beskeden linker til, er x(.)ca-lendar(.)com og blev registreret i lørdags. Alligevel viser X det legitime calendar.google.com i forhåndsvisningen takket være sidens metadata, der udnytter, hvordan X genererer forhåndsvisninger fra sine metadata.
“Din hjerne ser Google Calendar. URL’en er forskellig.”
Når der klikkes, omdirigerer sidens JavaScript til et X-autentifikationspunkt, der anmoder om autorisation til en app for at få adgang til din sociale mediekonto. Appen ser ud til at være “Calendar”, men teknisk undersøgelse af teksten afslører, at applikationens navn indeholder to kyrilliske tegn, der ligner et “a” og et “e”, hvilket gør det til en distinkt app sammenlignet med den faktiske “Calendar”-app i X’s system.
Indikationen der afslører angrebet
Indtil videre kan det mest åbenlyse tegn på, at linket ikke var legitimt, have været URL’en, der kortvarigt dukkede op, før brugeren blev omdirigeret. Dette dukkede sandsynligvis kun op i en brøkdel af et sekund og er let at overse. Alligevel finder vi på X-autentifikationssiden det første hint om, at dette er et phishingangreb. Appen anmoder om en lang liste af omfattende kontrollerettigheder, herunder at følge og stoppe med at følge konti, opdatere profiler og kontoindstillinger, oprette og slette indlæg, engagere sig med indlæg fra andre og mere. Disse rettigheder virker unødvendige for en kalenderapp og kan være hintet, der redder en omhyggelig bruger fra angrebet. Hvis tilladelse gives, får angriberne adgang til kontoen, da brugerne får et andet hint med en omdirigering til calendly.com på trods af Google Calendar-forhåndsvisningen.
“Calendly? De spoofede Google Calendar, men omdirigerer til Calendly? Stort operationelt sikkerhedsfejl. Denne inkonsistens kunne advare ofrene,”
fremhævede Cole. Ifølge Coles GitHub-rapport om angrebet anbefales det, at du besøger X’s tilknyttede apps-side for at tjekke, om din profil er blevet kompromitteret, og for at smide angriberne ud af kontoen. Derefter foreslår han at tilbagekalde eventuelle apps med navnet “Calendar”.
