Użytkownicy Coinbase znaleźli się na celowniku cyberprzestępców, którzy przeprowadzają zakrojony na szeroką skalę atak phishingowy. Oszuści rozsyłają e-maile, informując o konieczności migracji do nowego portfela samoobsługowego, co rzekomo ma być wynikiem decyzji sądowej. W rzeczywistości celem kampanii jest nakłonienie ofiar do skonfigurowania nowego portfela za pomocą podanej w wiadomości frazy odzyskiwania, która umożliwia atakującym pełny dostęp do środków użytkowników. E-maile wysyłane przez przestępców mają temat „Migracja do portfela Coinbase” i zawierają szczegółowe instrukcje dotyczące pobrania legalnego oprogramowania portfela Coinbase. Aby nadać im autentyczność, wiadomości zawierają oficjalne logo firmy oraz sformułowania sugerujące, że jest to wymagane działanie wynikające z nowej polityki giełdy. Nadawcy podkreślają, że od 14 marca wszyscy użytkownicy muszą przejąć pełną kontrolę nad swoimi portfelami, a Coinbase ograniczy swoją rolę jedynie do pośrednika w zakupach kryptowalut.
Jak działa oszustwo?
Mechanizm ataku jest wyjątkowo sprytny i różni się od typowych kampanii phishingowych. Standardowo tego rodzaju oszustwa opierają się na fałszywych stronach logowania, które kradną dane dostępowe. W tym przypadku jednak przestępcy poszli o krok dalej i wykorzystali podstępny mechanizm podszywania się pod oficjalne komunikaty Coinbase. Zamiast przekierowywać ofiary na podejrzane strony, w treści e-maila podają już gotową frazę odzyskiwania, czyli zestaw słów umożliwiających dostęp do kryptowalut przechowywanych w portfelu. Fraza odzyskiwania, zwana również „nasionem” (ang. seed phrase), pełni ważną rolę w świecie kryptowalut. Jest ona odpowiednikiem klucza prywatnego i pozwala na pełne przywrócenie portfela na dowolnym urządzeniu. Każdy, kto ją posiada, zyskuje pełną kontrolę nad środkami użytkownika. Oszuści w swojej wiadomości przekonują, że nowa fraza odzyskiwania jest unikalna i niezbędna do dalszego korzystania z Coinbase, nakłaniając użytkowników do jej wpisania w aplikacji portfela.
Wiarygodność oszustwa
Aby uwiarygodnić swoje działania, atakujący korzystają z profesjonalnych metod obejścia filtrów antyspamowych. Wiadomości wydają się być wysyłane z adresu akamai.com, a ich IP powiązane jest z usługą SendGrid, co sprawia, że przechodzą przez standardowe zabezpieczenia SPF, DMARC i DKIM, omijając filtry antyspamowe. Tym samym wiadomość trafia bezpośrednio do skrzynek odbiorczych użytkowników, nie budząc podejrzeń. Firma Akamai, której infrastruktura została wykorzystana do przeprowadzenia tego ataku, wydała już oficjalne oświadczenie, w którym poinformowała o trwającym dochodzeniu. Jednocześnie ostrzegła użytkowników przed tego typu oszustwami, podkreślając, jak ważne jest unikanie podawania jakichkolwiek informacji osobistych w wiadomościach e-mail i nieklikanie podejrzanych linków.
