Фальшивий журналіст, справжній хакер: розкриття нового шахрайського трюку Crypto Twitter

Останніми місяцями відомі лідери думок стали головними об’єктами атак соціальної інженерії, а також часто викрадали офіційний обліковий запис проекту в Twitter.

Автор: Luccy, ритм-працівник, BlockBeats

У валютному колі Twitter, як основна соціальна медіа, є важливою платформою для обміну інформацією, але він також піддає багато ризиків безпеці. Останніми місяцями з’явилася нова тенденція крадіжок: відомі лідери думок (KOL) стали головними об’єктами атак соціальної інженерії, а офіційна платформа соціальних медіа проекту X (раніше Twitter) часто зазнавала крадіжок акаунтів.

Ці добре сплановані атаки не тільки порушують особисту конфіденційність, але й загрожують безпеці всього цифрового активу. BlockBeats дослідить кілька нещодавніх випадків атак соціальної інженерії на добре відомі KOL, розкриваючи, як зловмисники використовують ретельно розроблені методи шахрайства та як KOL і звичайні користувачі можуть бути більш пильними, щоб захиститися від таких все більш поширених онлайн-загроз.

Замасковані фейкові репортери, атаки соціальної інженерії на KOL

Згідно з неповною статистикою BlockBeats, людиною, на яку спочатку напали соцпрацівники, виявився головний редактор американського мейнстрімового ЗМІ «Forbes». Після спілкування із зашифрованим Kol@0xmasiwei щодо friend.tech та інших фальшивих проектів SocialFi, самозванець надіслав йому посилання «підтвердження особи» friend.tech. Після перевірки співробітниками служби безпеки SlowMist це посилання є фішинговим.

Крім того, засновник SlowMist Ю Сянь визначив, що інтегрований інструмент налаштування friend.tech FrenTechPro є фішинговим шахрайством.Після того, як користувачі натиснуть АКТИВАТИ ЗАРАЗ, хакери продовжуватимуть намагатися викрасти активи, пов’язані з гаманцем.

Через два місяці PeckShield знову виявив подібний інцидент.

18 грудня дослідник криптоданих і учасник DeFiLlama Кофі (@0xKofi) опублікував на платформі соціальних мереж, що контракти та dApps DefiLama вразливі до вразливості, вимагаючи від користувачів натискати посилання, додане до твіту, щоб перевірити безпеку активів. Це типовий приклад атаки соціальної інженерії. Шахрайська група скористалася страхом користувачів перед вразливими місцями та змусила їх знизити охорону від шахрайських посилань.

Вчора о 2 годині ночі @0xcryptowizard зазнав атаки соціальної інженерії, яка знову викликала дискусії в колі шифрувальників. @0xcryptowizard використав «машинний переклад» китайської мови для просування напису Arbitrum на платформах соціальних мереж і додав посилання на монетний двір. За словами учасників спільноти, гаманець спустошувався, щойно вони переходили за посиланням.

У відповідь @0xcryptowizard написав, що шахрай скористався перервою, щоб опублікувати фішингове посилання. Згодом @0xcryptowizard додав нагадування у своєму профілі Twitter: «Жодних посилань не буде опубліковано в майбутньому; будь ласка, не натискайте на посилання в твітах».

Що стосується причини крадіжки, @0xcryptowizard сказав, що це було добре сплановане онлайн-шахрайство. Зловмисник @xinchen_eth прикинувся репортером відомого криптовалютного медіа Cointelegraph і зв’язався з ціллю під приводом домовленості про співбесіду. Зловмисника обманом змусили натиснути на здавалося б звичайне посилання для запису на зустріч, яке було замасковане під сторінку зустрічі від Calendly, популярного інструменту для планування. Однак насправді це замаскована сторінка, справжньою метою якої є завершити авторизацію облікового запису @xinchen_eth у Twitter і таким чином отримати його дозволи у Twitter.

Під час цього процесу, навіть якщо він підозрював посилання, дизайн і подання сторінки все одно змушували його помилково вважати, що це звичайний інтерфейс Calendly для призначення зустрічей. Насправді сторінка не відображала жодного дозволеного Twitter інтерфейсу, лише інтерфейс часу призначення, що призвело його до непорозуміння. Оглядаючись назад, @0xcryptowizard вважає, що хакери могли вміло замаскувати сторінку.

Нарешті, @0xcryptowizard нагадує іншим відомим лідерам думок (KOL) бути особливо обережними та не натискати легко невідомі посилання, навіть якщо вони виглядають як звичайні сторінки служби. Сильно прихована та оманлива природа цього шахрайства становить серйозну загрозу безпеці.

Після @0xcryptowizard співзасновник NextDAO @_0xSea_ також зазнав атаки соціальної інженерії. Шахрай, видаючи себе за відому медіа-компанію шифрування Decrypt, надіслав приватне повідомлення, щоб запросити його на інтерв’ю, щоб поширити деякі ідеї для китайськомовних користувачів.

Але враховуючи уроки минулого, @_0xSea_ ретельно помітив, що на сторінці авторизації Calendly.com, надісланій іншою стороною, символом у реченні «Авторизуйте Calendlỵ доступ до вашого облікового запису» є «ỵ», а не літера "y". Подібно до випадку підроблених sats минулого разу, останнім символом насправді є "ʦ" замість "ts". З цього можна судити, що це фейковий акаунт.

Добре навчена група криптохакерів Pink Drainer

Під час атаки на @0xcryptowizard Slow Mist Cosine вказав на банду шахраїв Pink Drainer. Повідомляється, що Pink Drainer — це зловмисне програмне забезпечення як послуга (MaaS), яке дозволяє користувачам швидко створювати шкідливі веб-сайти та отримувати незаконні активи через зловмисне програмне забезпечення.

Згідно з компанією з безпеки блокчейну Beosin, фішингова URL-адреса використовує інструмент для крадіжки криптогаманця, щоб обманом змусити користувачів підписати запит. Після того, як запит буде підписано, зловмисник зможе перенести токени NFT і ERC-20 з гаманця жертви. «Pink Drainer» стягуватиме з користувачів викрадені активи як комісію, яка, як повідомляється, може досягати 30% від викрадених активів.

Команда Pink Drainer сумно відома своїми резонансними атаками на такі платформи, як Twitter і Discord, пов’язані з такими інцидентами, як Evomos, Pika Protocol і Orbiter Finance.

2 червня минулого року хакери використали Pink Drainer, щоб зламати Twitter Міри Мураті, головного технічного директора OpenAI, і опублікували неправдиві новини, стверджуючи, що OpenAI збирається запустити «токен OPENAI» на основі мовної моделі AI, і опублікував посилання, щоб повідомити користувачам мережі перевірити, чи підходить адреса гаманця Ethereum для отримання коротких інвестицій. Щоб запобігти розкриттю шахрайства в області повідомлень, хакер також вимкнув функцію публічної відповіді на повідомлення.

Хоча фейкові новини були видалені через годину після публікації, вони вже охопили понад 80 000 користувачів Twitter. Згідно з даними, представленими Scam Sniffer, хакер отримав від цього інциденту близько 110 000 доларів незаконного доходу.

Наприкінці минулого року Pink Drainer брав участь у дуже складній фішинговій афері, яка призвела до викрадення токенів Chainlink (LINK) на суму 4,4 мільйона доларів. Ціллю кіберкрадіжки була одна жертва, яку обманом змусили підписати транзакцію, пов’язану з функцією «підвищити авторизацію». Pink Drainer використовує функцію «додати авторизацію», стандартну процедуру в області криптографії, щоб дозволити користувачам встановлювати обмеження на кількість токенів, які можна передавати на інші гаманці.

Ця дія призвела до несанкціонованої передачі 275 700 токенів LINK у двох окремих транзакціях без відома жертв. Деталі криптографічної платформи безпеки Scam Sniffer показують, що спочатку 68 925 токенів LINK було переведено Etherscan на гаманець з позначкою «PinkDrainer: Wallet 2», а решта 206 775 LINK були надіслані на інший гаманець, адреса якого закінчується на «E70e».

Хоча незрозуміло, як вони обманом змусили жертв дозволити передачу токенів. Scam Sniffer також виявив принаймні 10 нових шахрайських веб-сайтів, пов’язаних із Pink Drainer, за останні 24 години після крадіжки.

Сьогодні діяльність Pink Drainer все ще зростає.За даними Dune, станом на момент написання статті Pink Drainer ошукала загалом понад 25 мільйонів доларів із загалом десятками тисяч жертв.

Офіційні акції проекту часто крадуть

Мало того, останній місяць часто траплялися випадки вкрадених офіційних твітів проекту:

22 грудня виникла підозра в викраденні офіційного облікового запису платформи X ARPG темної ланцюжкової гри для захоплення скарбів "SERAPH: In the Darkness". Користувачам рекомендовано наразі не натискати жодних посилань, опублікованих цим обліковим записом.

25 грудня виникла підозра, що офіційний твіт децентралізованого фінансового протоколу Set Protocol був викрадений, і було опубліковано кілька твітів із фішинговими посиланнями.

30 грудня офіційний твіт платформи кредитування DeFi Compound був підозрюваний у викраденні, і було опубліковано твіт із фішинговим посиланням, але дозвіл на коментарі не було відкрито. BlockBeats нагадує користувачам звернути увагу на безпеку активів і не натискати на фішингові посилання.

Навіть охоронні компанії не застраховані. 5 січня акаунт CertiK у Twitter був зламаний. Опубліковано неправдиві новини, в яких стверджується, що контракт маршрутизатора Uniswap виявився вразливим до вразливості повторного входу. Посилання, додане до RevokeCash, є фішинговим. У відповідь на крадіжку компанія CertiK заявила на своїй соціальній платформі: «Підтверджений обліковий запис, пов’язаний із відомим ЗМІ, зв’язався зі співробітником CertiK, однак, здається, обліковий запис було зламано, що призвело до фішингової атаки на наших співробітників. CertiK швидко виявив уразливість і видалив відповідні твіти протягом декількох хвилин. Розслідування показало, що це була широкомасштабна і тривала атака. За даними розслідування, інцидент не завдав значної шкоди».

6 січня, відповідно до відгуків спільноти, офіційний твіт Sharky, екологічного протоколу кредитування NFT Solana, було зламано, і було опубліковано фішингове посилання. Користувачам рекомендовано не натискати жодні посилання, розміщені в офіційному твіті.