چت پشتیبانی جعلی؛

شگردهای جدید کلاهبرداران حوزه رمز ارز

شناسه خبر: 19240
تاریخ و زمان ارسال: 14 آذر 1401 ساعت 10:44

مهاجمان از طریق چت پشتیبانی جعلی ،احراز هویت دوعاملیتی و یا بوسیله نرم افزار کنترل از راه دور TeamViewer ؛ Coinbaseو MetaMask را دور می زنند.

به گزارش “خبرخوی” به نقل از پلیس فتا، گروهی از فیشینگ کاران در حوزه سرقت رمزارز برای دور زدن احراز هویت چند عاملی و دسترسی به حساب‌های موجود در Coinbase، MetaMask، Crypto.com و KuCoin در حال فعالیت می باشند.

عاملان این تهدید جهت انجام فیشینگ از میزبانی سرویس Microsoft Azure Web Apps سوء استفاده می‌کنند و قربانیان را از طریق پیام‌های فیشینگ که با جعل درخواست‌های تأیید تراکنش جعلی یا شناسایی فعالیت‌های مشکوک هستند، به سمت آنها فریب می‌دهند.

به عنوان مثال، یکی از ایمیل‌های فیشینگ که در حملات مشاهده شد وانمود کرد که از طرف Coinbase است، که می‌گوید آنها حساب را به دلیل فعالیت مشکوک قفل کرده‌اند.

هنگامی که قربانیان این حمله از سایت فیشینگ بازدید می کنند، یک پنجره چت ظاهراً برای “پشتیبانی از مشتری” به آنها ارائه می شود که توسط یک کلاهبردار کنترل می شود که بازدیدکنندگان را از طریق یک فرآیند کلاهبرداری چند مرحله ای هدایت می کند. PIXM از سال ۲۰۲۱ که گروه موصوف فقط Coinbase را هدف قرار داد، این کمپین را ردیابی کرده است.

اخیراً، تحلیلگران PIXM متوجه گسترش دامنه هدف گذاری کمپین شده اند که شامل MetaMask، Crypto.com و KuCoin می شود. دور زدن ۲FA مرحله اول حمله در سایت های فیشینگ صرافی های جعلی شامل یک فرم ورود جعلی و به دنبال آن یک درخواست احراز هویت دو مرحله ای است.

با توجه به درخواست کد ۲FA و اطلاعات وارد شده در این مرحله ، اطلاعات محرمانه توسط مهاجمان به سرقت خواهد رفت. در چت پشتیبان جعلی ، عوامل تهدید با قربانی مورد نظر مکالمه ای را آغاز می کنند تا در صورت نیاز به اعتبارنامه های مختلف، عبارات بازیابی یا کدهای ۲FA به تحریک عاملان تهدید، وارد حساب کاربری شوند.

در گزارش جدید PIXM توضیح می‌دهد: «آنها از کاربر می‌خواهند نام کاربری، رمز عبور و کد احراز هویت دو مرحله‌ای خود را مستقیماً در چت دریافت کنند». سپس مجرم این را مستقیماً به مرورگر دستگاه خود می برد و دوباره سعی می کند به حساب کاربران دسترسی پیدا کند.

کلاهبرداران در صورتی که نیاز به تأیید انتقال موجودی کیف پول توسط فرد قربانی را داشته باشد قربانی را همچنان با پشتیبانی مشتری موصوف در ارتباط نگه می دارند تا قادر باشند کیف پول مد نظر را خالی می‌کنند.

با این حال، کلاهبرداران برای حساب‌هایی که نمی‌توانند از طریق چت پشتیبانی به آن‌ها نفوذ کنند، عوامل تهدید دیگری را جایگزین می نمایند تا دستگاه خود را به‌عنوان دستگاهی «قابل اعتماد» برای پلتفرم ارز دیجیتال تأیید کنند.

فریب از راه دور برای غلبه بر مانع دستگاه تأیید شده، مهاجمان قربانی را متقاعد می کنند تا برنامه دسترسی از راه دور «TeamViewer» را دانلود و نصب کند.

در مرحله بعد، کلاهبرداران از قربانیان می خواهند که به کیف پول رمزنگاری یا حساب های صرافی خود وارد شوند و در حین انجام این کار، عوامل تهدید یک کاراکتر تصادفی در قسمت رمز عبور اضافه می کنند تا باعث شکست ورود به سیستم شوند.

سپس مهاجم از قربانی می‌خواهد که رمز عبور را در چت TeamViewer بچسباند، از رمز عبور (منهای نویسه تصادفی) برای ورود به دستگاه خود استفاده می‌کند و سپس پیوند تأیید دستگاه ارسال شده به قربانی را می‌گیرد تا دستگاه خود را به عنوان مورد اعتماد تأیید کند. هنگامی که آنها به حساب یا کیف پول دسترسی پیدا می کنند، عوامل تهدید آن را از تمام وجوه تخلیه می کنند در حالی که همچنان قربانی را در چت پشتیبانی نگه می دارند.

برای جلوگیری از کلاهبرداری در حملاتی مانند این، توجه به آدرس ایمیل فرستنده و آدرس های اینترنتی ارسالی ضروری است. اگر این آدرس‌ها با پلتفرم ارزهای دیجیتال مطابقت ندارند، باید بلافاصله ایمیل را مشکوک تلقی کنید و آن را حذف کنید. متأسفانه، اگر گرفتار یکی از این کلاهبرداری‌ها شوید، پس از انتقال وجوه از کیف پول شما، صرافی ارز دیجیتال نمی‌تواند پول شما را بازیابی کند.

انتهای متن/