Появилась новая изощренная фишинговая кампания, нацеленная на аккаунты X известных личностей из криптопространства. Она использует тактики, обходящие двухфакторную аутентификацию и кажущиеся более достоверными, чем традиционные мошенничества.
Согласно сообщению в X от среды, опубликованному крипторазработчиком Zak Cole здесь, новая фишинговая кампания использует собственную инфраструктуру X для захвата аккаунтов криптоличностей. «Обнаружение невозможно. Активна прямо сейчас. Полный захват аккаунта», — заявил он.
Cole подчеркнул, что атака не включает в себя поддельную страницу входа или кражу паролей. Вместо этого она использует поддержку приложений X для получения доступа к аккаунту, одновременно обходя двухфакторную аутентификацию.
Исследователь безопасности MetaMask Ohm Shah подтвердил, что обнаружил эту атаку «в дикой природе», что указывает на более масштабную кампанию. Модель OnlyFans также стала целью менее изощренной версии этой атаки.
Создание убедительного фишингового сообщения
Отличительной особенностью этой фишинговой кампании является ее правдоподобность и незаметность. Атака начинается с прямого сообщения в X, содержащего ссылку, которая, благодаря тому, как социальная сеть генерирует предварительные просмотры, кажется перенаправляющей на официальный домен Google Calendar. В случае с Cole сообщение выдавало себя за представителя венчурной фирмы Andreessen Horowitz.
Домен, на который ведет ссылка, — “x(.)ca-lendar(.)com” — был зарегистрирован в субботу. Тем не менее, X отображает в предварительном просмотре легитимный calendar.google.com благодаря метаданным сайта, использующим механизм генерации предварительных просмотров X.
«Ваш мозг видит Google Calendar. URL-адрес другой».
При нажатии страница JavaScript перенаправляет на конечную точку аутентификации X, запрашивая разрешение для приложения на доступ к вашему аккаунту в социальной сети. Приложение представляется как “Calendar”, но технический анализ текста показывает, что в названии приложения присутствуют два кириллических символа, похожих на буквы “a” и “e”, что делает его отличным от настоящего приложения “Calendar” в системе X.
Улика, раскрывающая атаку
До сих пор, самой очевидной уликой, указывающей на нелегитимность ссылки, мог быть URL-адрес, который ненадолго отображался до перенаправления пользователя. Вероятно, он появлялся всего на долю секунды и его было легко упустить.
Тем не менее, на странице аутентификации X можно найти первую улику, указывающую на фишинговую атаку. Приложение запрашивает обширный список разрешений для контроля над аккаунтом, включая подписку и отписку от аккаунтов, обновление профилей и настроек аккаунта, создание и удаление публикаций, взаимодействие с публикациями других пользователей и многое другое.
Эти разрешения кажутся излишними для приложения-календаря и могут стать той подсказкой, которая спасет внимательного пользователя от атаки. Если разрешение будет предоставлено, злоумышленники получат доступ к аккаунту, так как пользователей перенаправят на calendly.com, несмотря на предварительный просмотр Google Calendar.
«Calendly? Они подделали Google Calendar, но перенаправляют на Calendly? Это серьезный провал в оперативной безопасности. Эта несогласованность может насторожить жертв», — подчеркнул Cole.
Согласно отчету Cole на GitHub об этой атаке здесь, чтобы проверить, был ли скомпрометирован ваш профиль и вывести злоумышленников из аккаунта, рекомендуется посетить страницу подключенных приложений X здесь. Затем он предлагает отозвать разрешения у всех приложений с именем “Calendar”.
