Министерство
внутренних дел Украины 01601, г. Киев, ул. Академика Богомольца, 10
з по
Поиск по сайту

Министерство внутренних дел Украины

Автоматическая информационно-справочная служба:
(044) 256-03-33

Канцелярия:
(044) 256-16-27

Факс:
(044) 253-64-04

Информационные запросы СМИ

e-mail: zmi@mvs gov ua

Телефон "Доверия" Управления по делам участников АТО

(044) 256-17-20
вторник и четверг
(кроме государственных праздников)
с 10:00 до 12:00
и с 15:00 до 17:00
ГУМВС України в Київській області
Киев
Лвів
Луцк
Півне
Ужгород
Івано-Франковск
Тернопіль
Чернівці
Хмельницький
Житомир
Винница
Чернігів
Черкаси
Суми
Полтава
Харків
Кировоград
Дніпропетровськ
Луганськ
Донецк
Запорожье
Херсон
Миколаїв
Одеса
Сімферополь
Київська областьЛьвівська областьВолынская областьРівненська областьЗакарпатская область
Івано-Франковская областьТернопільська областьЧернівецька областьХмельницька областьЖитомирская область
Винницкая областьЧернігівська областьЧеркаська областьСумська областьПолтавська область
Харківська областьКировоградская областьДніпропетровська областьЛуганська областьДонецкая область
Запорожская областьХерсонська областьМиколаївська областьОдеська областьАР Крым область
{submenu}
a
a
a

Киберполиция разоблачила масштабную фишинговую кампанию, направленную на пользователей криптовалюты (ФОТО)

14.02.2018 16:14

В конце сентября 2017 года, совместно с сотрудниками подразделения «Talos» компании «Cisco», киберполиция начала совместное расследование одной из самых масштабных фишинговых кампаний, направленных на пользователей криптовалюты (операция «Coinhoarder»).

Исходная информация поступила от коллег из «Cisco». При анализе было найдено большое количество доменов, названия которых были очень похожи на оригинальный ресурс онлайн-сервиса виртуальных Bitcoin-кошельков: blockchain.info.

«Заманивание» пользователей происходило с помощью рекламных кампаний Google Adwords. При введении ключевой фразы «blockchain» в поисковой системе Google появлялась ссылка, которая выглядела вполне легитимной:

Однако после перехода по этой ссылке пользователь попадал на фейковый домен (типа bockchain.info). Домен выглядел аналогичным оригинальному, однако имел другое доменное имя и специально разработанный скрипт от злоумышленников.

Если подробнее, то схема работала следующим образом:

1. Пользователь открывает фейковый сайт.

2. Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info.

С помощью модуля языка программирования Lua в web-сервере Nginx, сразу происходит изменение данных заголовков и в некоторых случаях запрет.

3. Как только пользователь входит в кошелек, или создает новый, загружая с сайта JavaScript, Nginx на фейковом сервере подменяет его своим.

Указанные функции, при инициализации кошелька отсылают по специальному адресу POST-запрос с данными: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts.

В «accounts» содержатся xpub и xpriv-ключи для каждого кошелька. Если же данные кошелька зашифрованные двойным паролем, то он расшифровывает и отправляет эту информацию к себе на сервер. Интересный факт, что двухфакторная аутентификация в этом случае не поможет.

4. На фейковых сервере работает php-backend, который осуществляет взаимодействие с данными кошельков.

По приблизительным подсчетам только в период с сентября по декабрь 2017 года, используя вышеупомянутый метод, злоумышленники завладели криптовалютой на сумму 700 BTC (на момент написания статьи эта сумма эквивалентна 5 миллионов долларов США). Согласно информации от специалистов по безопасности ресурса blockchain.info, эта фишинговая кампания является одной из самых масштабных за всю историю существования компании. Мы считаем, что эта группа начала свою деятельность еще в конце 2014 года, и за три года их общих доход от преступной деятельности может превышать сотни миллионов долларов США.

В 2018 году, деятельность этой группы значительно упала. Связываем это с введением дополнительных правил модерации рекламных сообщений в Google Adwords. Это также подтверждается анализом активности лиц на закрытых форум-площадках, которые предлагают услуги по ведению мошеннических рекламных кампаний.

Специалисты киберполиции также нашли подтверждение того, что эти злоумышленники причастны к созданию нескольких так называемых HYIP-проектов, таких как: flexibit.bz, verumbtc.com, hashminers.biz, которые являются так называемым «скамом» (scam).

Кроме того, в последнее время в Украине создается все больше «распиаренных» криптовалютних проектов, которые создают свои криптовалюты и пытаются привлечь инвестиции. В большинстве случаев такие проекты ориентированы на быстрый сбор денежных средств с населения при отсутствии гарантий дохода.

В дальнейшем, существует несколько сценариев развития:

- сообщение о якобы слом проекта/биржи;

- отсутствие роста самой криптовалюты;

- банальное исчезновения основателей со всеми средствами.

В связи с этим, рекомендуем более осторожно относиться к инвестициям в подобные проекты.

На данный момент, мы продолжаем отслеживать деятельность еще нескольких групп, которые занимаются похищением криптовалюты, результаты расследований будут представлены в ближайшее время.

Напомним, ранее руководитель украинского киберполиции Сергей Демедюк отмечал необходимость законодательного урегулирования статуса криптовалюты в Украине.

Департамент киберполиции Национальной полиции Украины

При использовании материала ссылка на mvs.gov.ua обязательна
ВСЕ НОВОСТИ