Как Google и Blockchain.com позволяют хакерам красть криптовалюту

Какого хрена, Гугл? Именно так отреагировала на произошедшее команда портала Crypto News, попавшая в ловушку фишинга 23 сентября. Беда пришла откуда не ждали — из выдачи Гугла. Фишинговые сайты — не новый инструмент в руках преступников, но Гугл уже несколько ЛЕТ не может ничего сделать с этим. Достаточно поискать и найти статью еще 2018 года, где говорится, что на этой схеме взломщики уже тогда заработали 50 млн долларов. Дальше — больше. Выясняется, что мошенники атакуют Blockchain.info — что говорит о том, что проект ничего не предпринимает, чтобы защитить своих пользователей. Остается только задаться вопросом: может ли быть им это выгодно?

Далее мы в деталях расскажем, что именно произошло, и что вам надо делать, чтобы избежать потери денег — ибо из нашей истории понятно, что ни Гугл, ни Blockchain.com ничего не делали и, похоже, не собираются делать для безопасности пользователей сети.

23 сентября у Crypto News возникла необходимость войти в BTC-кошелек редакции для оплаты счетов на услуги. Атаке подвергся онлайн-кошелек на сервисе blockchain.com, откуда злоумышленниками было выведено примерно 0,615 BTC. Это ссылка на адрес мошенников, и на нем можно увидеть их транзакцию, а также тех, кто попал в идентичную ситуацию.

На момент публикации оказалось, что за сутки только на этом адресе фишеров уже скопилось 2,8 BTC с 13 транзакций — еще 12 человек как минимум попалось на удочку. Представьте, сколько у них может быть адресов!

Оператор кошелька воспользовался Гуглом, вбив запрос «blockchain». Официальный сайт Blockchain.com всегда выходит в первой строке результатов поиска, но выше органической выдачи мошенники разместили контекстную рекламу Google AdWords, которая ведет на фишинговый сайт. От этого не застрахован ни один человек, здесь работает социальная инженерия — пользователь может торопиться, отвлечься, и перейти по вредоносной ссылке. Таким образом оператор попал на ложную страницу авторизации, выглядящую в точности как официальная страница авторизации кошелька.

Если вы используете «горячие» кошельки, то обязательно создайте список ярлыков или закладок с сайтами, которыми вы пользуетесь и заходите всегда только через них.

При авторизации фишинговый сайт ведет себя точно так же, как и настоящий, в том числе он отправляет запрос в письме с дополнительной авторизацией входа на почту, и это письмо — настоящее, в нем указана такая же информация, что и всегда, в том числе IP-адрес пользователя. А все почему? Да потому что по сути кто угодно может взять и скопировать страницу логина с потрохами с оригинального blockchain.com и использовать их на своем домене, а добавив несколько строчек кода можно «прослушать» ваши данные входа: логин, пароль и внимание! — токен сессии, который позволит авторизоваться злоумышленникам совершенно незаметно.

Crypto News отправили запрос в техподдержку и не получили никакого ответа.

Используйте полноценные средства 2FA, например Google Authenticator. В целом, чем сложнее двухфакторная аутентификация — тем лучше.

Само использование «горячих» кошельков несет определенные дополнительные удобства, но связано с повышенным риском онлайн-мошенничеств. Храните на них минимальные операционные средства.

Используйте «холодные» кошельки, в этом случае файл с ключами находится полностью под вашим контролем, но помните, что меры по безопасности и восстановлению по случаю утери лежат на ваших плечах. Также по возможности обязательно включите двухфакторную аутентификацию не только для входа, но и для вывода средств с кошелька.

Данная ловушка расставлена на пользователей из России: реклама показывается только для тех, чей IP-адрес находится в пределах страны. При переходе по рекламной ссылке происходит редирект на фишинговый сайт blockchain.com.sc, который по имени домена от оригинала отличается только двумя последними буквами.

Что примечательно, если попытаться зайти по этому адресу сразу, без перехода по рекламной ссылке, то идет перенаправление на страничку-пустышку backclain.com, скопированную с туристического сайта cookislands.travel. Такая манипуляция, видимо, нужна для того, чтобы обойти проверку Гугла при регистрации вредоносной контекстной рекламы. Гугл знает об этом и… ничего. Смешно сказать, но Гугл на этом зарабатывает — свои 30-40 центов за каждый клик.

Ситуация непростая: Crypto News лишился части бюджета, направленного на развитие приложения. В планах команды было много обновлений и дополнительных интеграций. В итоге редакция обратилась к комьюнити с просьбой о поддержке. Возможно, кто-то из аудитории портала обладает практическими знаниями и опытом — как можно найти мошенников или вернуть средства в такой ситуации. Возможно, среди пользователей найдутся и «белые хакеры», способные отследить транзакции, обнаружить уязвимости схем.

Берегите свои кошельки и будьте внимательны.