Giá trị của tiền điện tử ngày một tăng đã thu hút sự chú ý của tội phạm mạng. Và các sàn giao dịch tiền điện tử cũng là một mục tiêu cho tội phạm mạng. Coinbase là sàn giao dịch lớn nhất tại Mỹ và các nhà nghiên cứu đã phát hiện ra nhiều chiến dịch lừa đảo nhằm vào người dùng của sàn giao dịch này.
Quy mô và giá trị của Coinbase là khá ấn tượng. Sàn khẳng định mình có hơn 56 triệu người dùng đã được xác minh ở hơn 100 quốc gia. Khối lượng giao dịch của sàn là khoảng 335 tỷ USD và với 223 tỷ USD tài sản.
Các nhà nghiên cứu tại công ty chống tấn công lừa đảo INKY (Mỹ) đã phát hiện ra hàng chục chiến dịch lừa đảo hiện đang nhắm vào người dùng Coinbase. Trong một bài đăng trên blog mới đây, công ty mô tả một chiến dịch được thiết kế để đánh cắp thông tin đăng nhập trên Coinbase nhằm lấy cắp tiền điện tử, các thông tin tài chính và thông tin cá nhân.
Chiến dịch này sử dụng một email được viết và trình bày kỹ càng, trong đó có chứa biểu tượng Coinbase. Nội dung có rất ít dấu hiệu cho thấy là lừa đảo - không có lỗi chính tả và sử dụng văn phong, ngữ pháp tốt. Tuy nhiên, chỉ khác với email hợp lệ đến từ Coinbase rằng "chúng tôi đã phát hiện hoạt động trái phép và đã khóa tài khoản của bạn" mà thay bằng "chúng tôi đã thực hiện yêu cầu vô hiệu hóa tài khoản của bạn". Việc kích hoạt lại tài khoản yêu cầu nhấp vào nút hiển thị trên màn hình và nhập lại thông tin đăng nhập.
Email được gửi từ một tài khoản email đã bị đánh cắp. Nếu bị đánh lừa và nhấp vào nút được hiển thị trong email, nạn nhân sẽ được gửi đến một bản sao giả mạo hoàn hảo của trang đăng nhập Coinbase hợp lệ. Trang giả mạo này được lưu trữ trên trang web của một công ty cải tạo mái nhà của Đức. Thao túng các trang web hợp lệ, sau đó sử dụng chúng để lưu trữ và cất giấu tài liệu trong các trang mồ côi (orphan page) là một hành vi phổ biến đối với tội phạm mạng.
Trong trường hợp này, bằng chứng trực quan duy nhất cho thấy trang web là giả mạo đó là trong thanh địa chỉ của trình duyệt (‘bedachungen-bauer[.]de’ chứ không phải ‘coinbase[.]com/signin’). Bất kỳ thông tin đăng nhập nào cung cấp cho trang giả mạo này đều được thu thập ngay lập tức và gửi cho tội phạm mạng.
Coinbase đã kêu gọi người dùng sử dụng xác thực hai yếu tố (2FA). INKY cảnh báo rằng điều này có thể là không đủ an toàn. Mặc dù không được sử dụng trong chiến dịch này, nhưng tội phạm mạng có thể sử dụng các nền tảng tấn công man-in-the-middle (chẳng hạn như Evilginx) để lấy mã thông báo 2FA được gửi đến máy khách lừa đảo. Evilginx sử dụng máy chủ Nginx HTTP để ủy quyền các trang web thực cho nạn nhân, thu thập bất kỳ mã thông báo 2FA nào mà trang web có thể gửi dưới dạng cookie trình duyệt cho khách hàng.
Lừa đảo vẫn là một trong những hướng tấn công tội phạm phổ biến nhất, và lừa đảo người dùng dường như là mục tiêu dễ dàng hơn hack sàn giao dịch. Tuy nhiên, các vụ hack sàn giao dịch cũng không phải là không thường xuyên. Vụ trộm bitcoin trị giá gần 500 triệu USD đã dẫn đến sự sụp đổ của sàn giao dịch MtGox vào năm 2014 - sàn giao dịch bitcoin lớn nhất thế giới vào thời điểm đó. Tuy nhiên, việc đánh cắp bitcoin trên sàn giao dịch bởi một “ví nóng” từ năm 2011 đến năm 2014 là khá chậm. Vào năm 2019, sàn giao dịch Binance đã mất 7.000 bitcoin (khi đó trị giá hơn 41 triệu USD), cũng bị đánh cắp từ một “ví nóng”.
Đỗ Đoàn Kết
(Theo Security Week)
08:00 | 12/01/2021
11:00 | 27/06/2019
07:00 | 30/05/2022
11:00 | 24/01/2019
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
