Рассекая фишинговый сайт HitBTC

[vaysar]

Один из наших ботов недавно нашел новый, относительно сложный фишинг-комплект HitBTC. Мы решили проанализировать это.

Что такое HitBTC?
HitBTC - это криптовалютный обмен, который в среднем превышает 250 миллионов долларов в день.

Как и большинство криптовалютных бирж, HitBTC использует Cloudflare для защиты DDOS и, как и большинство криптовалютных бирж, имеет тенденцию к снижению в периоды большого трафика. В это время пользователи нередко видят экран ожидания Cloudflare против DDOS, страницу моментального снимка Cloudflare или другие страницы ошибок Cloudflare. Вы увидите, почему это актуально в ближайшее время.

Фишинговый комплект
Логика, лежащая в основе этого фишингового комплекта, является хитрой, поскольку она не только обманывает вас, чтобы передать ваши данные, чтобы украсть ваши регистрационные данные и коды 2FA, но и затрудняет обнаружение того, что вы не входили в законный домен.

Фишинговый домен в настоящее время скрывается за прокси Cloudflare - мы отправили запросы на удаление - но вот что может испытать жертва.

Пользователь вводит свой адрес электронной почты и пароль в форму входа на фишинговом сайте.
Пользователь нажимает кнопку «Войти». Если мы отключим JavaScript, мы увидим, как запускается следующий код, когда мы нажимаем «Войти» .
Отображается iframe экрана, имитирующего экран ожидания CloudFlare, в то время как пользовательские данные отправляются в серверный скрипт, который пытается войти в систему с помощью HitBTC.

Если вход выполнен успешно (потому что пользователь делает не имеет 2fa включен), пользователь получает Cloudflare экрана ошибки 502. Спустя шесть секунд они перенаправляются в законный домен HitBTC. На данный момент данные пользователя уже были украдены.

Если вход в систему не был успешным (потому что у пользователя действительно включен 2FA), пользователю показывается экран ожидания Cloudflare. Через несколько секунд им показывают форму 2FA.
Как только пользователь вводит свой код 2FA, код отправляется на сервер атакующего, проверяет вход в систему и перенаправляет пользователя обратно в законный домен.

Независимо от того, включен или нет пользователь 2FA, после того, как phishkit получит данные для входа, он отобразит ошибку Cloudflare 502 и перенаправит пользователя обратно в законный домен.

Что делает этот фишкит особенно опасным, так это то, что пользователь вряд ли обнаружит, что он только что был скомпрометирован:

Даже если пользователь подозревает, что что-то не так, и решает проверить URL, он теперь находится на законном домене. Им нужно будет просмотреть историю своих браузеров, чтобы увидеть, что они ранее вводили свои данные на фишинг-сайте.
Очень легко списать опыт в затруднительное положение и предположить, что что-то пошло не так во время входа в систему. Это особенно вероятно из-за того, что phishkit использует знакомые экраны ожидания / ошибки Cloudflare, когда они тестируют логины.

Что вы можете сделать, чтобы оставаться в безопасности?
Как вы, вероятно, уже поняли, Интернет - это «дикий запад», а тем более, когда дело касается криптовалюты. Злоумышленники становятся все более изощренными, и вам становится все труднее обнаружить, что вы находитесь на фишинговом сайте.

Никогда не держите все свои средства на обмене.
Используйте кошельки с монетами, которыми вы не торгуете.
Распределите монеты по нескольким биржам и используйте разные имена пользователей, адреса электронной почты и пароли.
Всегда используйте 2FA (хотя это не обязательно помогло бы в этом случае).
Всегда проверяйте URL, прежде чем вводить данные для входа.
Перейдите на свои крипто-сайты через закладки, которые вы создаете сами.
Регулярно просматривайте свои учетные записи и проверяйте ненужные ключи API, которые вы либо больше не используете, либо не помните, что создали.
Закройте все активные сеансы для своих учетных записей, которые вам больше не нужны.
Включите все доступные оповещения и уведомления для бирж. Такие вещи, как заказы на покупку / продажу, создание новых адресов вывода средств, создание новых ключей API, вход в систему с неопознанных устройств и любые другие функции, предоставляемые биржей. Лучше всего получать уведомления, если что-то меняется как можно скорее.
Если что - то чувствует себя прочь, взять время , чтобы более внимательно изучить (например , проверьте URL, проверьте историю браузера). Не спешите себя в совершает ошибку и не игнорировать вещи.
Установите EtherAddressLookup , который заблокирует вам посещение URL-адресов, которые, как известно, являются вредоносными (например, фишинговый веб-сайт выше!)
Сообщайте о мошенничестве и вредоносных фишинговых веб-сайтах по адресу https://etherscamdb.info . Мы также индексируем все эти фишинговые сайты, если вы хотите что-то проверить или глубже изучить разнообразие мошенников.
Источник: https://medium.com/mycrypto/dissecting-a-hitbtc-phishing-site-8e631a6c29a3

[Bigpat]

Чем дальше, тем каверзнее становятся попытки хакеров получить доступ к данным бвланса атакуемого. Описанная выше проблема очень серьезная. Действительно, увидев подобное и в итоге оказавшись на "правильном" сайте вряд-ли заподозришь что уже побывал в руках хакеров и засветил свои данные.

[heyod hewow]

Я перед вводом логинов и паролей всегда дополнительно проверяюсь с помощью расширения SimilarWeb - Traffic Rank & Website Analysis.

Конечно же у меня стоит 2FA везде, перехожу по личным сохраненным ссылкам и сертификат сайта проверяю. Но дополнительно еще обязательно гляну на  статистику посещаемости через SimilarWeb. У бирж статистика будет миллионы посещений, напр. у Бинанса более 28М, у HitBTC - 4,5М.

Если посещаемость у очень популярного ресурса, на который вы зашли - всего лишь сотни или тысячи или его вообще SimilarWeb не видит - это 146% фишинг. ))   

[vaysar]

Установил расширение  EtherAddressLookup, надеюсь оно поможет избежать посещения фишинговых сайтов и подобных описанному выше.