资安厂商 Netskope 旗下的研究人员,近来发现有骇侵者利用 Google Sites 与 Microsoft Azure Web App 等云端服务架设彷冒网站,用于攻击加密货币投资者,以窃取其加密资产。
报告指出,骇侵者的攻击手法,是事先利用上述的云端服务来架设多个彷冒知名加密货币钱包或交易所入口的钓鱼网站,然后利用留言机器人在各大加密货币相关社群的讨论区中大量发送含有这些钓鱼网站连结的留言;用户如果不慎误信连结,即可能将自己的钱包或交易所登入资讯输入到钓鱼网站中。
报告指出,由于骇侵者选择使用 Google 和 Microsoft 的服务,因此这些网站的网域名称就是 Google 与 Microsoft 所属的网址;这样不但垃圾留言较不易遭到自动垃圾留言清除机制删除,甚至还能取得很好的 SEO 效果。实测发现,一些骇侵者设立的钓鱼网站,连往往会在 Google 搜寻结果中名列前茅。
报告说,这些钓鱼网站攻击的对象,是大型加密货币交易所与知名加密钱包的用户,例如 Coinbase、MetaMask、Kraken、Gemini 等。骇侵者企图利用这些假入口网站来骗取用户的交易所与加密钱包的登入资讯与钱包復原短语,以完全控制用户的数位资产。
报告指出,这些假网站还包括假的二阶段登入验证页面,会要求用户输入手机号码;待用户输入手机号码后,假网站会显示一个假的错误讯息,宣称用户因违反安全守则,帐号已遭停用;用户必须按下页面中的「询问专家」按钮,接着会有假冒的客服人员与用户线上对谈,诱使用户开启 Team Viewer 等遥控软体,窃取用户收到的二阶段验证码。
建议加密货币投资者不要在任何社群网站中点按宣称是官方网站的连结,且应注意连结本身是否为真实的网域名称。
本文转载自TWCERT/CC。