Μία διαφορετική απάτη Phishing μέσω των Google Ads
ΕΙΔΗΣΕΙΣΕΛΛΑΔΑΚΟΙΝΩΝΙΑΚΟΣΜΟΣ 19 Νοεμβρίου 2021 fonisalaminas
Ο κόσμος των κρυπτονομισμάτων είναι γεμάτος κινδύνους, με απατεώνες να περιμένουν να πέσουν στα δίχτυα τους αρχάριοι χρήστες. Μια πρόσφατη αναφορά από την εταιρεία ασφαλείας Check Point Research τονίζει μια ισχυρή μορφή επίθεσης: τη χρήση του Google Ads για να κατευθύνει τους χρήστες σε πλαστά πορτοφόλια κρυπτονομισμάτων (crypto wallets). Στην έκθεσή της, η CPR ανέφερε ότι έχει δει η απάτη που γίνεται με αυτόν τον τρόπο να μαζεύει το ποσό περίπου των μισών εκατομμυρίων δολαρίων τις τελευταίες μόλις ημέρες.
Η απάτη λειτουργεί ως εξής: ο εισβολέας αγοράζει το Google Ads ως απάντηση σε αναζητήσεις για δημοφιλή crypto wallets (αυτό είναι το λογισμικό που χρησιμοποιείται για την αποθήκευση κρυπτονομισμάτων, NFT και παρόμοια). Η CPR λέει ότι έχει παρατηρήσει απάτες που στοχεύουν πορτοφόλια Phantom και MetaMask, τα οποία είναι τα πιο δημοφιλή πορτοφόλια για τα οικοσυστήματα Solana και Ethereum (πλατφόρμες συναλλαγών).
Η απάτη είναι μία αρκετά τυπική επίθεση Phishing. Όταν ένας ανυποψίαστος χρήστης αναζητήσει την λέξη “phantom” στο Google, το αποτέλεσμα της διαφήμισης Google (το οποίο εμφανίζεται πάνω από τα πραγματικά αποτελέσματα αναζήτησης) τον κατευθύνει σε έναν ιστότοπο ηλεκτρονικού “ψαρέματος” που μοιάζει με πραγματικό. Στη συνέχεια, συμβαίνει ένα από τα δύο πράγματα: είτε ο χρήστης εισάγει τα διαπιστευτήριά του τα οποία τα διατηρεί ο εισβολέας, είτε αν προσπαθήσουν να δημιουργήσουν ένα νέο πορτοφόλι, τους λένε να χρησιμοποιήσουν έναν κωδικό πρόσβασης ανάκτησης ο οποίος στην πραγματικότητα τους καταγράφει μέσα σε ένα πορτοφόλι που ελέγχεται από τον εισβολέα και όχι το δικό τους. Η CPR Αναφέρει πως “Αυτό σημαίνει ότι εάν μεταφέρουν χρήματα, ο εισβολέας θα το πάρει αμέσως”.
Όπως και με τις απάτες phishing, έτσι και εδώ οι εισβολείς βασίζονται στο να κάνουν τις ψεύτικες σελίδες σύνδεσης να μοιάζουν όσο το δυνατόν περισσότερο με τις πραγματικές. Το CPR σημειώνει ότι έχουν δει εισβολείς να χρησιμοποιούν ψεύτικα URL για να ξεγελάσουν τους χρήστες, νομίζοντας πως τους κατευθύνουν στα crypto wallet τους, για παράδειγμα τους κατευθύνουν (προσοχή στην ορθογραφία) στο phanton.app ή στο phantonn.app, αντί για το σωστό το οποίο γράφεται έτσι: “phantom.app”. Η ομάδα έχει δει επίσης παρόμοιες απάτες phishing που χρησιμοποιούνται για να κατευθύνουν τους χρήστες σε πλαστά ανταλλακτήρια κρυπτονομισμάτων που μεταμφιέζονται ως νόμιμα όπως το PancakeSwap και το UniSwap (όπου σε αυτά γίνονται ανταλλαγές κρυπτονομισμάτων).
Οι ερευνητές του CPR λένε ότι άρχισαν να παρατηρούν αυτές τις απάτες αφού είδαν χρήστες κρυπτονομισμάτων να παραπονιούνται για τις απώλειες τους στο Reddit και σε άλλα φόρουμ. Υπολογίζουν ότι “τουλάχιστον μισό εκατομμύριο δολάρια” έχουν κλαπεί τις τελευταίες ημέρες.
Ο Oded Vanunu του CPR σε μια δήλωση τύπου είπε: “Πιστεύω ότι βρισκόμαστε στην έλευση μιας νέας τάσης για το έγκλημα στον κυβερνοχώρο, όπου οι απατεώνες θα χρησιμοποιούν την Αναζήτηση Google ως κύριο φορέα επίθεσης για να φτάσουν σε crypto wallets, αντί για παραδοσιακό ηλεκτρονικό ψάρεμα μέσω email. Οι ιστότοποι phishing στους οποίους κατευθύνονταν τα θύματα αντανακλούσαν σχολαστική αντιγραφή και μίμηση μηνυμάτων επωνυμίας πορτοφολιού. Και αυτό που είναι πιο ανησυχητικό, είναι ότι πολλές ομάδες απατεώνων υποβάλλουν προσφορές για λέξεις-κλειδιά στο Google Ads, κάτι που είναι πιθανότατα ένα σημάδι της επιτυχίας αυτών των νέων καμπανιών phishing που είναι προσανατολισμένες να ληστεύουν τα crypto wallets”.
Κάποιες συμβουλές για την αποφυγή τέτοιου είδους απατών είναι να μην κάνουμε ποτέ κλικ στα αποτελέσματα του Google Ads, αλλά αντίθετα να κοιτάμε αποτελέσματα αναζήτησης και να ελέγχουμε πάντα τη διεύθυνση URL του ιστότοπου που επισκεπτόμαστε.
csii.gr