Cisco và Ucraina Cyberpolice thông báo rằng họ đã phát hiện một vụ lừa đảo Bitcoin vô cùng lớn. Người ta nói rằng hơn 50 triệu USD (tính theo tỉ giá Bitcoin) đã bị một nhóm hacker có tên Coinhoarder chiếm đoạt được. Tất cả điều này được thực hiện bằng cách sử dụng chứng chỉ SSL miễn phí và Google AdWords.
Tin tức đầu tiên xuất hiện vào thứ Tư khi Jeremiah O’Connor và Dave Maynor xuất bản một bài đăng blog trên blog chính thức của Talos. Cisco, với sự hỗ trợ của Ucraina Cyberpolice, đã theo dõi hành vi trộm cắp này trong hơn sáu tháng.
Đây là những gì đã xảy ra
Nếu bạn tham gia giao dịch hoặc khai thác Bitcoin , bạn đã nghe nói về trang web blockchain.info . Và nếu bạn không biết, hãy để tôi nói với bạn rằng nó là một trong những nhà cung cấp phổ biến nhất của ví tiền điện tử. Để đánh lừa người dùng blockchain.info đưa ra chi tiết của họ, những kẻ hacker đã tạo các trang web tương tự với rất ít thay đổi trong tên miền. Những thay đổi này đã được thực hiện theo cách mà nó sẽ được khá khó để nhận thấy chúng. Các tin tặc đã sử dụng các tên miền như block-clain.info và blockchien.info. Hãy trung thực và thừa nhận rằng hầu hết chúng ta sẽ không thể nhận thấy sự khác biệt trong tên miền miễn là trang web đó có giao diện như trang gốc.
Đây là một bài đăng Reddit từ một người dùng dường như đã trở thành nạn nhân của lừa đảo lừa đảo Bitcoin này :
Trước hết, email xác nhận đăng nhập cho biết đã có nỗ lực đăng nhập từ địa chỉ IP hiện đã xuất hiện từ brazil, vì vậy điều này có nghĩa là người này đã truy cập tài khoản của tôi bằng cách nào đó, với thông tin chính xác (ID ví và mật khẩu của tôi). Cần lưu ý rằng mật khẩu này là duy nhất và tôi chưa từng sử dụng nó ở một trang web khác. Làm thế nào người này có thể truy cập vào tài khoản của tôi với thông tin chính xác, vài phút sau khi tôi tạo nó?
Thứ hai là tại sao tôi lại có giao dịch từ trang bockcheian.info? Tôi chưa bao giờ đăng nhập ở bất kỳ nơi nào khác, ngoại trừ trang web blockchain hợp pháp.
Tôi dường như không thể hiểu được ý nghĩa của nó, nếu ai đó có thể cung cấp một cái nhìn sâu sắc nào đó, sẽ được đánh giá cao.
Chỉnh sửa: Ngoài ra bây giờ khi tôi ở trên bockcheian.info, chrome của tôi ngăn tôi xem trang, hiển thị cảnh báo rằng trang web này được sử dụng để lừa đảo.
Người này chỉ là một trong số nhiều người đã cung cấp thông tin chi tiết ví tiền của họ trên các trang web giả mạo này và đã lấy cắp mật mã của họ. Người ta ước tính rằng $ 50 triệu giá trị của Bitcoin đã bị đánh cắp theo cách này.
Dưới đây là cách các tin tặc đã sử dụng Google AdWords
Đặt mình vào suy nghĩ của những kẻ hacker trong một phút và nghĩ cách bạn có thể tạo số lượng người dùng blockchain.info tối đa để nhấp vào trang web blockchien.info giả của bạn. Vâng, làm thế nào về việc nhận được trang web giả mạo của bạn trên kết quả tìm kiếm đầu tiên trên Google cho các từ khóa như ‘blockchain’ hoặc ‘ví bitcoin?’ Thông minh, phải không? Vâng, đó chính là điều mà nhóm Coinhoarder đã làm. Họ đã đặt quảng cáo của họ bằng cách mua các từ khóa cụ thể để trang web của họ có thể xuất hiện trên đầu kết quả tìm kiếm của Google và do đó, họ có thể lừa đảo người dùng tối đa.
Tôi chắc chắn không muốn khen ngợi các tin tặc, nhưng cách thức của những kẻ này vô cùng khôn ngoan. Bởi vào tháng 2 năm 2017, các truy vấn DNS cho các trang web tiền điện tử giả mạo này đã vượt quá 200.000 lần mỗi giờ!
Giấy chứng nhận SSL giả mạo và miễn phí: Chuyện tình vẫn tiếp tục
Vì người dùng web ngày càng quan tâm đến vấn đề bảo mật của họ, họ đã trở nên giỏi hơn trong việc xác định các trang web giả mạo từ những trang web thực. Và điều đầu tiên họ làm là kiểm tra xem có dấu ‘An toàn’ hay móc khóa ở phía trước URL hay không. Nhưng điều mà hầu hết mọi người không nhận ra là “An toàn” không an toàn thực sự. Có thể có một kẻ mạo danh ẩn đằng sau biểu tượng khóa móc. Trong thời gian gần đây, với sự gia tăng của các chứng chỉ SSL miễn phí, chúng tôi đã thấy điều này rất nhiều.
Hiện nay rất dễ dàng để có được một giấy chứng nhận SSL miễn phí, bất cứ ai, tôi lặp lại, bất cứ ai cũng có thể cài đặt cho tên miền của mình. Đây là một con dao hai lưỡi. Gần một nửa số trang web trên internet hiện đã được mã hóa và phần lớn thông tin được chuyển đến các cơ quan cấp chứng chỉ miễn phí này. Và tất nhiên điều này có thể sẽ tạo ra một loại sâu cho người dùng và một phương thức cho bọn tội phạm mạng.
Trong chiến dịch lừa đảo Bitcoin này, để xuất hiện hợp pháp, tin tặc đang di chuyển trang web của họ từ HTTP sang HTTPS với sự trợ giúp của các chứng chỉ SSL miễn phí này. Và các trang lừa đảo sẽ trông như dưới:
