Especialista recupera 20 mil reais de golpe de phishing Shoddy Crypto
Imagine-se vítima de um ataque de phishing que roubou uma parte significativa de suas economias em cripto, apenas para descobrir que um bom samaritano havia devolvido a você da bondade de seu coração.
Pode parecer irreal, mas essa é a experiência exata que uma vítima recente de um esquema de phishing teve. O usuário do Twitter Harv (@punk_cipher) twittou recentemente que os golpistas de phishing haviam esvaziado seu aplicativo Trust Wallet.
Mais tarde no mesmo dia, o pesquisador de segurança Harry Denley informou que havia conseguido interceptar os ladrões e proteger cerca de metade das moedas digitais roubadas.
My @TrustWalletApp just got hacked.. they got it all $10,000 I think I’m done
— HARV 外人 (@punk_cipher) June 27, 2020
Confie na vítima do usuário da carteira do esquema de phishing de US $ 10.000
Mesmo que outros tenham se sentido constrangidos demais para ir a público, Harv revelou o golpe via Twitter no dia 28 de junho. Com o benefício da retrospectiva, eles ficarão satisfeitos com o que fizeram.
Denley, especialista em segurança antiphishing, revelou que o aplicativo Trust Wallet de Harv foi hackeado e esvaziado. Harv, perturbado, explicou que havia perdido cerca de US $ 10.000 em criptomoedas. Eles adicionaram com um emoji de rosto triste:
“Acho que terminei.”
Surpreendentemente, menos de duas horas após o tweet original, Denley respondeu com boas notícias inesperadas que certamente teriam encantado a vítima. Denley instruiu Harv a enviar uma mensagem direta, pois ele havia conseguido recuperar cerca de US $ 4.000 dos fundos roubados.
Denley prometeu revelar como conseguiu recuperar os fundos em 28 de junho. E fez exatamente isso em uma publicação do Medium publicada na segunda-feira .
Enganando um golpista: como Denley recuperou US $ 4K em Ether
Chamando de “ocorrência especial”, Denley revelou que a vítima neste exemplo havia instalado uma versão mal-intencionada do aplicativo Trust Wallet. O especialista em cripto observa que esse caso de phishing foi um pouco diferente daqueles que atormentam o setor de criptomoedas há anos.
A versão falsa do software foi realmente listada na loja oficial do Google Play. As capturas de tela da loja de aplicativos mostram que os usuários revisaram a Trust Wallet mais de 600 vezes e a classificaram com respeitáveis três estrelas e meia.
O nível de sofisticação aqui está ausente na maioria dos golpes de phishing. APKs maliciosos como esses geralmente são hospedados em sites de terceiros. Denley executou o aplicativo em um ambiente sandbox e o descompilou. Ele então descobriu que o aplicativo malicioso carregava um WebView, solicitando aos usuários que digitassem sua chave mnemônica para restaurar uma carteira.
Marcado como um aplicativo oficial e para download em uma fonte legítima, é fácil ver porque a vítima acabou caindo no golpe.
Trilha de pistas
Obviamente, inserir a chave mnemônica no pop-up do WebView não restaurou a carteira. Na verdade, ele solicitou uma mensagem de erro ao enviar simultaneamente a entrada do usuário para um script do lado do servidor.
“Código de má qualidade”, como Denley descreve, significa que uma configuração ruim com o domínio do invasor deixou seu log de erros exposto via Telegram. Denley conseguiu forçar um erro no aplicativo de mensagens enviando-o por spam com, bem, mensagens. Depois de decifrar as chaves de API do bot do Telegram, ele inundou a interface do programa de aplicativos do Telegram (API).
Isso fez com que o programa enviasse todas as mensagens de bate-papo privadas dos golpistas diretamente para Denley por meio do log de erros. Ele então montou uma sweeper personalizada para esvaziar o conteúdo das carteiras roubadas usando a frase mnemônica capturada. Ele fez isso em intervalos de 180 segundos.
Com mais alguns ajustes, Denley foi capaz de manipular o próprio bot dos agressores para denunciar as conversas privadas dos membros do canal Telegram. Ele descobriu o ID do Telegram do golpista, um usuário que recebeu o apelido de “George”. Todos os golpistas falavam turco.
Varrendo o conteúdo da carteira
O contra-ataque de Denley passou despercebido por cerca de 15 horas entre 28 e 29 de junho. Eventualmente, os golpistas notaram a enxurrada de mensagens enviando spam para seus chats.
Eles teriam modificado o log de erros e excluído o bot do Telegram. Denley acredita que os golpistas terão outros bots, mas, enquanto isso, está comprometido com o spam de chaves privadas falsas nos logs dos hackers. Assim deve levar algum tempo para as vítimas terem seus ativos de cripto de volta.
Rastreando as vítimas
Com as informações completas da transação, Denley continuou a interceptar várias outras tentativas de drenar carteiras. Ele conseguiu encontrar os endereços das carteiras impactadas e, em seguida, começou a reunir usuários com suas propriedades.
Ele inicialmente vasculhou Twitter para o endereço da maior vítima, o que o levou a Harv. Depois de iniciar uma conversa, Denley solicitou que eles assinassem uma mensagem específica com suas chaves. Isso permitiu ao especialista devolver os fundos, com confiança, ao proprietário confirmado.
Harv respondeu com satisfação pelo resultado na segunda-feira:
BE CAREFUL OUT THERE!
Last weekend I got wiped out by a phishing scam via a fake @TrustWalletApp on @GooglePlay App Store, they got $10,000 of crypto..
My man @sniko_ swooped in like a super hero and was able to recover almost $4000 of it! You’re a wizard Harry!Thank You!
— HARV 外人 (@punk_cipher) June 29, 2020
Mantendo-se seguro contra ataques cada vez mais sofisticados
Os ataques de phishing normalmente têm grandes bandeiras vermelhas que impedem todos, exceto os usuários mais vulneráveis, de se tornarem vítimas. Por exemplo, o BeInCrypto relatou em janeiro sobre golpistas representando Ledger , a carteira de hardware. Os canais Bogus do YouTube, com os nomes de “Ledger” e “Ledger Nano”, promoveram uma carteira da Web comprometida, oferecendo fundos gratuitos.
A primeira bandeira vermelha, nesse caso, é a improbabilidade de que a Ledger promova um novo produto exclusivamente através do YouTube. As empresas normalmente divulgam press releases detalhando seus lançamentos. Não é difícil verificar o arquivo de lançamentos da Ledger para obter informações relacionadas a isso.
A segunda bandeira vermelha é o número de vencedores “sortudos” da oferta da promoção Bitcoin. Nos vídeos no Twitter e no Facebook, prometeram até 2.000 BTC em bônus. Por que diabos Ledger doaria mais de US $ 18 milhões apenas para lançar uma carteira na web?
O golpe de phishing da Trust Wallet, por outro lado, é muito mais sutil. O aplicativo malicioso vem da loja oficial do Google Play. Tem críticas, uma classificação positiva e carrega a mesma marca que o lançamento oficial.
Faça sua própria pesquisa (DYOR)
Como se disfarçava como uma carteira oficial, o pedido para inserir a frase mnemônica dificilmente é uma bandeira vermelha. A maioria dos aplicativos de carteira possui opções para carregar uma carteira existente a partir de uma chave privada ou frase-semente. Ou para criar um novo no lançamento.
Embora a Trust Wallet tenha feito um excelente trabalho de representação, ainda é possível se proteger de tais fraudes. A melhor maneira de fazer isso é sempre acessar a fonte dos downloads – o site oficial ou o GitHub do projeto.
O site oficial da Trust Wallet direciona os usuários a fazer o download diretamente das lojas Google Play ou Apple. No entanto, também vincula ao produto oficial, que possui muito mais análises, downloads e uma classificação mais alta.
Algumas das vítimas acima podem estar cientes de que o Trust Wallet é suportado no Google Play e acharam que economizariam um pouco de tempo indo direto para lá. Infelizmente, um pouco de conveniência quase sempre resulta em uma queda na segurança.
Ao lidar com grandes quantias de dinheiro, como no caso de Harv, a segurança deve sempre prevalecer sobre a conveniência.
O artigo Especialista recupera 20 mil reais de golpe de phishing Shoddy Crypto foi visto pela primeira vez em BeInCrypto.