最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

攻击者通过TeamViewer虚假支持聊天绕过Coinbase和MetaMask 2FA

网络安全 快米云 来源:快米云 231浏览

加密货币

一场窃取加密货币的网络钓鱼活动正在进行中,以绕过多因素身份验证并获得对 Coinbase、MetaMask、Crypto.com 和 KuCoin 上账户的访问权限并窃取加密货币。

威胁行为者滥用 Microsoft Azure Web Apps 服务来托管网络钓鱼站点,并通过模拟虚假交易确认请求或可疑活动检测的网络钓鱼消息将受害者引诱到这些站点。

例如,在攻击中看到的一封钓鱼邮件假装来自 Coinbase,声称他们因可疑活动而锁定了账户。

冒充 Coinbase 的钓鱼邮件
冒充 Coinbase 的钓鱼邮件
来源:PIXM

当目标访问网络钓鱼站点时,他们会看到一个聊天窗口,据称是用于“客户支持”的,该窗口由诈骗者控制,该诈骗者通过多步诈骗流程引导访问者。

PIXM 自 2021 年以来一直在跟踪此活动,当时该威胁组织 仅针对 Coinbase。最近,PIXM 的分析师注意到该活动的目标范围扩大到包括 MetaMask、Crypto.com 和 KuCoin。

绕过 2FA

假冒加密货币交易所网络钓鱼站点的第一阶段攻击涉及伪造的登录表单,然后是双因素身份验证提示。

无论在此阶段输入的凭据如何,它们仍会被威胁行为者窃取。然后该页面会继续提示,询问访问该帐户所需的 2FA 代码。

钓鱼网站的2FA步骤
钓鱼网站的2FA步骤
来源:PIXM

攻击者在合法网站上尝试输入的凭据,触发向受害者发送 2FA 代码,然后受害者在网络钓鱼站点上输入有效的 2FA。

然后,只要他们在计时器用完之前采取行动,威胁行为者就会尝试使用输入的 2FA 代码登录受害者的帐户。

应该注意的是,MetaMask 网络钓鱼攻击针对的是助记词,而不是凭据或 2FA 代码。

与骗子聊天

研究人员表示,无论 2FA 代码是否有效,诈骗者都会触发下一个攻击阶段,即启动屏幕聊天支持。

这是通过显示一条虚假的错误消息来完成的,该消息表明该帐户由于可疑活动而被暂停,并要求访问者联系支持人员以解决问题。

生成虚假登录错误
生成虚假登录错误
来源:PIXM

在此支持聊天中,威胁行为者开始与目标受害者对话,以防威胁行为者需要不同的凭据、助记词或 2FA 代码才能登录帐户。

“他们将直接在聊天中提示用户输入用户名、密码和双因素身份验证代码,”新的 PIXM 报告解释说。

“然后,犯罪分子会将其直接带到他们机器上的浏览器中,并再次尝试访问用户帐户。”

对于成功入侵的账户,受害者仍在与客户支持联系,以防他们在骗子清空钱包时需要确认资金转账。

然而,对于他们无法通过支持聊天破坏的帐户,威胁行为者会切换到另一种方法来验证他们的设备对加密货币平台来说是“值得信赖的”。

远程欺骗

为了克服经过身份验证的设备障碍,攻击者说服受害者下载并安装“TeamViewer”远程访问应用程序。

接下来,诈骗者要求受害者登录他们的加密货币钱包或交易所账户,而当他们这样做时,威胁行为者会在密码字段中添加一个随机字符,导致登录失败。

然后,攻击者要求受害者将密码粘贴到 TeamViewer 聊天中,使用密码(减去随机字符)登录他们的设备,然后窃取发送给受害者的设备确认链接,以验证他们的设备是否可信。

窃取设备认证链接
窃取设备认证链接
来源:PIXM

一旦他们获得对帐户或钱包的访问权限,威胁行为者就会耗尽所有资金,同时仍然让受害者参与支持聊天。 

为避免在此类攻击中被骗,必须始终注意发件人的电子邮件地址和任何已发送的 URL。

如果这些 URL 与加密货币平台不匹配,您应立即将电子邮件视为可疑并将其删除。

不幸的是,如果您落入其中一个骗局,一旦资金从您的钱包中转出,加密货币交易所将无法收回您的资金。 

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 攻击者通过TeamViewer虚假支持聊天绕过Coinbase和MetaMask 2FA