Фишинговые атаки на онлайн кошельки биткоина во время «туземуна» цифровой валюты

На протяжении этих 48 часов цена биткоина превысила отметку $900 первый раз за прошедшие три года. Причина этого недавнего скачка цены выглядит не вполне ясной, особенно если учесть, что стоимость биткоина увеличилась уже более чем на 100% менее чем за 6 месяцев. Каждый раз, года цена биткоина растёт, киберпреступники начинают проявлять к нему повышенный интерес. Как связаны между собой цена биткоина и киберпреступники?

Наиболее распространенным действием киберпреступников, связанных с биткоином, является внедрение программ-вымогателей. Программы-вымогатели созданы из вредоносного кода, в основном в форме троянов, которые запрещают владельцу или владелице доступ файлам, шифруя их, а затем требуя выкуп в биткоинах, чтобы файлы можно было расшифровать и жертва снова смогла получить доступ к своей же информации.

В 2015-2016 годах были зарегистрированы десятки тысяч случаев атак программ-вымогателей. Три основных преступных семейства таких программ; Bitcryptor, CTB-Locker и Coinvault. Около года назад большинство авторов программ поставило выкуп в размере 2 биткоина, которые тогда стоили около $900. Сегодня 2 биткоина стоят более $1800, что относительно много, так что большинство распространителей троянов-вымогателей снизило требование выкупа до 1 биткоина, что ясно показывают результаты исследований рынков Даркнета.

Успех атак программ-вымогателей связан с периодами распространения троянских программ, а не с периодами популярности биткоина. В конце концов, эти трояны живут самостоятельной преступной жизнью. В ноябре прошлого года была эпидемия заражений программой-вымогателем «Locky», главным образом потому, что она доставлялась с помощью фишинга. С другой стороны, в июне прошлого года было минимальное количество заражений, главным образом потому, что антивирусы научились бороться с вымогательским «Angle Exploit Kit.»

Как связаны фишинговые атаки на кошельки биткоина и скачки цены

Каждый раз, когда цена биткоина скачками растёт вверх, у тех, кто занимается вредоносным фишингом, наступает праздник. Хакер настраивает сайт, который напоминает один из онлайн кошельков, например, Blockchain.info, с доменным именем, которое тоже напоминает исходное доменное имя кошелька. На этом сайте хакер ставит программу, которая перехватывает логины и пароли введённых в заблуждение жертв.

Недавно участники команды OpenDNS Cisco отследили немало операторов таких фишинговых сайтов и связали их с доменными именами, которые использовались для хищения логинов и паролей на многих других сайтах, в том числе Google, Apple, Amazon, Dropbox.

На этой картинке показана группа фишинговых доменов, которая зарегистрирована на connor123fox[at]writeme.com, как выяснили участники команды Cisco OpenDNS, ведущие расследование:

В большинстве случаев преступники атакуют Blockchain.info, так как это крупнейший в мире онлайн кошелек. Многие пользуются Blockchain.info годами, во многом и потому, что этот сайт не хранит закрытые ключи к биткоинам, которыми вы владеете. По данным отчёта, опубликованного в блоге Cisco OpenDNS, эти домены, созданные в последние 6 недель, (вместе с каждым показана дата его регистрации), предназначены исключительно для фишинга, и период их активности совпадает с ростом цены биткоина:

Любой из этих доменов предназначен для фишинга:

blockchainls.info 2016-11-03
blockchanfo.info 2016-11-03
blockchianfo.info 2016-11-03
blockchainle.info 2016-11-04
blockchainln.info 2016-11-04
blockchianin.info 2016-11-05
blockchianls.info 2016-11-05
blockchianie.info 2016-11-08
blockchianle.info 2016-11-08
blockchianln.info 2016-11-08
blockchinfo.info 2016-11-14
blockchlanfo.info 2016-11-14
blocklchaina.info 2016-11-14
blockchanifo.info 2016-11-16
blockchianas.info 2016-11-16
blockichianfo.info 2016-11-16
blockchiania.info 2016-11-21
blockchianias.info 2016-11-21
blockchianies.info 2016-11-21
blockchianisa.info 2016-11-21
blockichianis.info 2016-11-21
blockchiansa.info 2016-11-22
blockchianse.info 2016-11-22
blockchiensa.info 2016-11-22
blackclhian.info 2016-12-07
blackichian.info 2016-12-07
blacklchian.info 2016-12-07

Алгоритм, который использовала команда Cisco OpenDNS, помогает в обнаружении таких фишинговых компаний во время того, как они происходят, и даже в момент регистрации домена для этих целей, что даёт возможность предотвратить успешные фишинговые атаки. Алгоритмы сформированы с глубоким пониманием тех атак, которые уже успешно состоялись. Разработки команды основаны на популярности ключевых слов, связанных с биткоином, в поисковых запросах, во время периодов роста цены Биткоина, о чём написано в их посте в блог. Рост количества фишинга онлайн кошельков для Биткоина также тем или иным способом связан с ростом количества программ-вымогателей.

Вывод

Согласно отчёту, опубликованному командой Cisco OpenDNS, фишинговые атаки на онлайн кошельки биткоина усилились во время недавнего повышения цены биткоина и их количество бьет рекорды последние 6-8 недель. 2 месяца назад мужчину из штата Коннектикут арестовали за фишинговые похищения информации и воровство биткоинов, и похоже, что мы скоро увидим другие подобные аресты. На сайте Clearnet приведено много примеров разнообразного жульничества. Успех заражений программами-вымогателями биткоинов зависит от того, насколько удачно трояны внедрились к жертвам, а не от цены биткоина.