Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.
Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.
Misalnya, salah satu email phishing yang terlihat dalam serangan tersebut berpura-pura berasal dari Coinbase, yang mengatakan bahwa mereka mengunci akun tersebut karena aktivitas yang mencurigakan.
.png)
Sumber: PIXM
Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.
PIXM telah melacak kampanye ini sejak 2021 ketika kelompok ancaman hanya menargetkan Coinbase. Baru-baru ini, analis PIXM memperhatikan perluasan dalam cakupan penargetan kampanye untuk menyertakan MetaMask, Crypto.com, dan KuCoin.
Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.
Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.
Sumber: PIXM
Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.
Pelaku ancaman kemudian mencoba menggunakan kode 2FA yang dimasukkan untuk masuk ke akun korban selama mereka bertindak sebelum waktunya habis.
Perlu dicatat bahwa serangan phishing MetaMask menargetkan frase pemulihan, bukan kredensial atau kode 2FA.
Mengobrol dengan penipu
Terlepas dari apakah kode 2FA berfungsi, para peneliti mengatakan bahwa penipu memicu tahap serangan berikutnya, yaitu meluncurkan dukungan obrolan di layar.
Ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubungi dukungan untuk menyelesaikan masalah tersebut.
Sumber: PIXM
Dalam obrolan dukungan ini, pelaku ancaman memulai percakapan dengan korban yang ditargetkan agar mereka tetap ada jika kredensial, frase pemulihan, atau kode 2FA berbeda diperlukan agar pelaku ancaman dapat masuk ke akun.
“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna langsung di obrolan,” jelas yang baru laporan PIXM.
“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”
Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.
Namun, untuk akun yang tidak dapat dilanggar melalui obrolan dukungan, pelaku ancaman beralih ke metode alternatif untuk mengautentikasi perangkat mereka sebagai “dapat dipercaya” untuk platform mata uang kripto.
Tipuan jarak jauh
Untuk mengatasi kendala perangkat yang diautentikasi, penyerang meyakinkan korban untuk mengunduh dan menginstal aplikasi akses jarak jauh ‘TeamViewer’.
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.
Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.
Sumber: PIXM
Begitu mereka mendapatkan akses ke akun atau dompet, pelaku ancaman menghabiskan semua dananya sambil tetap membuat korban tetap terlibat dalam obrolan dukungan.
Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.
Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.
Sayangnya, jika Anda tertipu oleh salah satu penipuan ini, pertukaran crypto tidak dapat memulihkan dana Anda setelah dikirimkan dari dompet Anda.
