Ny phishingkampanje mot kryptopersonligheter
En ny, sofistikert phishingkampanje retter seg mot X-kontoene til kryptopersonligheter ved å bruke taktikker som omgår to-faktorautentisering (2FA) og fremstår som mer troverdige enn tradisjonelle svindler. Ifølge et innlegg på X onsdag av kryptoutvikler Zak Cole, utnytter denne phishingkampanjen Xs egen infrastruktur for å overta kontoene til kryptopersonligheter.
«Null deteksjon. Aktiv nå. Full kontooverføring,» sa han.
Cole fremhevet at angrepet ikke involverer en falsk innloggingsside eller stjeling av passord. I stedet utnytter det X-applikasjonsstøtte for å få tilgang til kontoer samtidig som det omgår 2FA. MetaMask-sikkerhetsforsker Ohm Shah bekreftet å ha sett angrepet «i det fri», noe som tyder på en bredere kampanje, og en OnlyFans-modell ble også målrettet av en mindre sofistikert versjon av angrepet.
Å lage en troverdig phishingmelding
Den bemerkelsesverdige funksjonen ved phishingkampanjen er hvor troverdig og diskret den er. Angrepet begynner med en direkte melding på X som inneholder en lenke som ser ut til å omdirigere til det offisielle Google Kalender-domenet, takket være hvordan sosiale medier-plattformen genererer sine forhåndsvisninger. I Coles tilfelle later meldingen til å komme fra en representant for venturekapitalfirmaet Andreessen Horowitz.
Annonse
Offline betyr utilgjengelig. Med NGRAVE, opplev ren, kald sikkerhet for din Bitcoin, NFTs & tokens. —> Spar 10% med COINTELEGRAPH-koden.
Domenet som meldingen lenker til er x(.)ca-lendar(.)com og ble registrert på lørdag. Likevel viser X det legitime calendar.google.com i forhåndsvisningen, takket være nettstedets metadata som utnytter hvordan X genererer forhåndsvisninger fra sin metadata. «Hjernen din ser Google Kalender. URL-en er annerledes.» Når den klikkes, omdirigerer sidens JavaScript til et X-autentiseringspunkt som ber om autorisasjon for en app til å få tilgang til din sosiale mediekonto. Appen ser ut til å være «Kalender», men teknisk undersøkelse av teksten avslører at applikasjonens navn inneholder to kyrilliske tegn som ser ut som en «a» og en «e», noe som gjør det til en distinkt app sammenlignet med den faktiske «Kalender»-appen i Xs system.
Hintet som avslører angrepet
Så langt kan det mest åpenbare tegnet på at lenken ikke var legitim, ha vært URL-en som kort dukket opp før brukeren ble omdirigert. Dette dukket sannsynligvis opp i bare en brøkdel av et sekund og er lett å gå glipp av. Likevel, på X-autentiseringssiden, finner vi det første hintet om at dette er et phishingangrep. Appen ber om en lang liste med omfattende kontokontrollrettigheter, inkludert å følge og slutte å følge kontoer, oppdatere profiler og kontoinnstillinger, opprette og slette innlegg, engasjere seg med innlegg fra andre, og mer. Disse tillatelsene virker unødvendige for en kalenderapp og kan være hintet som redder en forsiktig bruker fra angrepet.
Hvis tillatelse gis, får angriperne tilgang til kontoen, ettersom brukerne får et annet hint med en omdirigering til calendly.com til tross for Google Kalender-forhåndsvisningen.
«Calendly? De spoofet Google Kalender, men omdirigerer til Calendly? Stor operasjonell sikkerhetsfeil. Denne inkonsekvensen kan tipse ofrene,» fremhevet Cole.
Ifølge Coles GitHub-rapport om angrepet, anbefales det at du besøker Xs tilkoblede apper-side for å sjekke om profilen din har blitt kompromittert og for å kaste angriperne ut av kontoen. Deretter foreslår han å tilbakekalle eventuelle apper med navnet «Kalender.»
