Cisco Talos analizuje niedawną kampanię cyber-przestępczą z kryptowalutami w roli głównej.
Naruszenia danych stały się jednym z najpoważniejszych zagrożeń dla organizacji na całym świecie, a ich liczba rośnie z każdym rokiem. O kradzieży danych mówimy wtedy, gdy nieupoważnione osoby uzyskują dostęp do wrażliwych, chronionych lub poufnych informacji, takich jak dane osobowe, dokumenty finansowe, własność intelektualna itp. Jednak taki incydent wykracza daleko poza bezpośrednią utratę danych, ponieważ niesie za sobą poważne konsekwencje dla bezpieczeństwa, reputacji i stabilności finansowej osób i organizacji.
Cyberprzestępcy wykorzystują coraz bardziej zaawansowane formy oszustw, takie jak vishing i spear phishing, polegające na podszywaniu się pod inne osoby i przedstawicieli władz. Przykładem jest incydent obserwowany od stycznia 2024 r. przez grupę Cisco Talos, polegający na kradzieży kryptowalut poprzez stosowanie hybrydowych technik wyłudzania informacji i ataków socjotechnicznych.
Skradzione dane jako narzędzie w rękach cyberprzestępców
W kampanii obserwowanej od stycznia przez Cisco Talos przestępcy podszywający się pod funkcjonariuszy śledczych CySEC (Cyprus Securities and Exchange Commission) jako przynętę wykorzystali chęć zwrotu należności, skradzionych w wyniku rzekomego oszustwa na platformie handlowej Opteck, oferującej rozwiązania w zakresie handlu opcjami binarnymi.
W 2017 roku baza danych Opteck została skradziona, a następnie sprzedana na raidforum i do dzisiaj niektóre dane logowania użytkowników Opteck można nabyć na rosyjskich dark marketach. W tym samym roku CySEC określiła Opteck jako niezgodną z prawem i zawiesiła jej licencję do czasu podjęcia działań naprawczych. Tymczasem oszuści prawdopodobnie wykorzystali skradzione uprzednio z Opteck dane, aby zbudować autentyczność swojej kampanii.
Mechanizm działania polegał na wstępnym nawiązaniu połączenia telefonicznego z potencjalną ofiarą, w celu poinformowania, że platforma Opteck padła ofiarą działalności cyberprzestępczej, w wyniku której inwestycje w kryptowaluty należące do potencjalnej ofiary, mogły zostać niewłaściwie wykorzystane. Oszust przedstawiający się jako funkcjonariusz CySEC, proponował pomoc w odzyskaniu skradzionego kapitału. Aby zwiększyć wiarygodność, oszuści wysyłali e-maile podpisane nazwiskami prawdziwych funkcjonariuszy CySEC, a następnie prosili o przesłanie wyciągu bankowego w ramach weryfikacji. Kolejna wiadomość, jaką ofiara otrzymywała, dotyczyła szczegółowych etapów zwrotu środków.
Podczas rozmowy z ofiarą, oszust tworzył portfel kryptowalutowy na platformie Coinbase i wysyłał poszkodowanemu identyfikator portfela, zapewniając, że w ciągu 12 godzin przekaże mu 816 USDT jako kwotę aktywacyjną portfela. W przypadku jakichkolwiek błędów popełnionych przez ofiarę, przestępca żądał od ofiary przekazania określonego ETH na inny identyfikator portfela kryptowalutowego należącego do oszusta, który w tej kampanii nazywali portfelem AML. Następnie informował, że przedstawiciel Coinbase skontaktuje się z nim.
Podszywając się pod przedstawiciela Coinbase, oszust sugerował, aby osoba zapłaciła 10% kwoty zwrotu jako opłatę za ubezpieczenie Coinbase na ich tak zwany portfel AML w USDT lub ETH. Kiedy ofiara się zgodziła, oszust ponownie żądał od ofiary zapłaty innej kwoty w ramach procesu negocjacji na inny identyfikator portfela w ETH, zapewniając, że otrzyma 50% kwoty zwrotu na swój portfel Coinbase, co oczywiście nigdy nie następowało, a jedynie prowadziło do kradzieży kryptowalut ofiar.
Kampania zakończona sukcesem przestępców
Kampania była niezwykle skuteczna na co wskazuje liczba i wartość przeprowadzonych transakcji. Ekspertom Cisco Talos na podstawie analizy phishingowych e-maili udało się ustalić cztery adresy portfeli Ethereum, których używali do kradzieży kryptowalut od swoich ofiar. Zgromadzono na nich kryptowaluty o równowartości ponad 100 tysięcy dolarów. Dodatkowo Grupa Cisco Talos zauważyła, że oszuści korzystali z portfeli wielołańcuchowych. Oznacza to, że rozdzielali skradzione aktywa na różnych sieciach blockchain, zacierając tym samym ślady i utrudniając śledzenie.
Oszuści tworzyli domeny przypominające prawdziwą stronę CySEC, konfigurując je tak, aby wyglądały jak legalne, wykorzystując przy tym narzędzia Microsoftu do wysyłania fałszywych e-maili, aby uniknąć wykrycia i wzmocnić prawdziwość swoich wiadomości.
Rekordy serwera nazw (NS) i adresu startowego uwierzytelnienia (SOA) domen phishingowych zostały skonfigurowane tak, aby wskazywały na serwery nazw domen firmy njal.la, dostawcy oferującego usługę “privacy as a service” (prywatność jako usługa), a rekordy wymiany poczty (MX) domen zostały skonfigurowane przy użyciu serwerów pocztowych na mail.protection.outlook.com, co wskazuje, że wiadomości phishingowe były kierowane przez usługi ochrony poczty e-mail Microsoftu. Wszystko to, aby zbudować wrażenie autentyczności.
Zapisy tekstowe dla domen wskazują, że serwer pocztowy przestępcy uwzględniał zasady SPF (Sender Policy Framework), co oznacza, że wszelkie adresy IP zatwierdzone przez usługę ochrony Outlook Microsoftu były również upoważnione do wysyłania e-maili w imieniu domen oszusta. Zauważono również kilka wartości ms=msXXXXXXXX zdefiniowanych w rekordach TXT. Te rekordy są zazwyczaj używane podczas weryfikacji domeny przez Microsoft Office 365 i ich obecność sugeruje, że domena jest prawowicie zarejestrowana.
Świadomość zagrożenia podstawą skutecznego cyberbezpieczeństwa
„Czynnik ludzki jest postrzegany przez cyberprzestępców jako łatwy cel, który można wykorzystać za pomocą różnych technik inżynierii społecznej i jak pokazuje powyższa analiza – wcale się nie mylą. Stosowanie danych jako narzędzia do manipulacji, ułatwia hakerom prowadzenie kampanii oszustw, powodując znaczne szkody finansowe, reputacyjne i psychologiczne dla osób i organizacji”, ostrzega Chetan Raghuprasad, analityk Cisco Talos. „Budowanie świadomości w społeczeństwie jest więc bardziej niż konieczne. Umożliwia to jednostkom ochronę zarówno siebie, jak i całych organizacji. Poprzez edukację na temat zagrożeń możemy zmniejszyć ryzyko związane z naruszeniami danych i kampaniami oszustw”, radzi ekspert Cisco Talos.
Więcej informacji na blogu Cisco Talos: https://blog.talosintelligence.com/data-breaches-fueling-scam-campaigns/