比特币钱包网络钓鱼骗局曝光

BITCOMSEC 致力于 Bitcom 社区的安全。 当我们偶然发现在线比特币钱包中活跃的骗局时，我们讨论了对此类骗局的一般行为进行研究。

这项调查的起源是为一名申请人追踪比特币盗窃信息。 在分析区块链时，我们发现有很多针对向热钱包发送/接收比特币的用户的垃圾邮件。 热钱包是商家、交易所和其他公司使用的地址。 这些机构的绝大多数比特币交易都使用一个公共地址。 这些高度活跃的地址允许长期攻击者持续监控传入/传出交易，从而瞄准并诱骗用户将他们的钱包登录信息透露给一个看似相似但受攻击者控制的网站。 这种身份验证信息的欺骗和窃取被称为“网络钓鱼”。

攻击者通常无法找到与其目标比特币地址关联的电子邮件帐户。 因此，他们必须通过其他方式向目标用户发送钓鱼 URL。 在这种情况下，攻击者向目标地址发送包含少量比特币的交易，并附上包含钓鱼网址的公开消息，以诱使用户点击并声称可以在第三方获取更多比特币（BTC）。派对网站。

诈骗网站的谷歌搜索结果：bit-safe.org at Blockchain.info

钓鱼网站：bit-safe.org

我们的研究始于 bit-safe.org，因为我们首先在区块链中发现了这个域。

访问该站点时（2014 年 11 月 1 日），您将收到以下欢迎消息：

钓鱼网站“Bit-Safe.org”截图

钩：

Bit-safe.org 钓鱼网站的前提是 16.34 比特币 (BTC)（撰写本文时为 5,315 美元）目前正在托管中等着你。 片刻之后，您将被重定向到 Coinbase.com 应用程序身份验证屏幕，系统将提示您使用用户名/密码登录。 一旦您登录到您的帐户，您基本上允许网络钓鱼者使用该授权完全控制您的帐户。

攻击：

注意：我最初省略了 client_id，因为我不希望其他人在我讨论这个主题时出于好奇而被钓鱼。 Coinbase.com 随后禁用了此凭证/帐户。

一旦您登录您的帐户并授权网络钓鱼者访问，您将被重定向到：

从 HTTP 日志（网络钓鱼者随意学习）来看，我们能够发现以下启动 Coinbase.com 用户自动盗窃的行为脚本。 它记录受害者的帐户，更改 2FA 设置淘宝上买比特币界面，更改通知设置，最后发送提款请求。

Array ( [id] => 544d20b3f243c0e074000001 [created_at] => 2014-10-26T09:26:27-07:00 [hsh] => [amount] => Array ( [amount] => -0.00838956 [currency] => BTC ) [request] => [status] => pending [sender] => Array ( [id] => 54405c1f113b32972e000001 [email] => blockhash@mail.ru [name] => Andydsfdsfs fdsfsfdsfsf ) [recipient_address] => 1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx [notes] => [idem] => ) Array ( [id] => 544d3c1657c91f47e8000001 [created_at] => 2014-10-26T11:23:18-07:00 [hsh] => [amount] => Array ( [amount] => -0.51051534 [currency] => BTC ) [request] => [status] => pending [sender] => Array ( [id] => 544930c245ec0a9882000002 [email] => holler21@mail.ru [name] => Alexsey Matrosov ) [recipient_address] => 1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx [notes] => [idem] => )

我们还能够找到一些被盗用的账户名称和金额：

7f42906566ffed6d6a305bccf962ce910c5c7bc97eac9d7e094299df543c7649 0.00012000 8daa92c45ea17ae82e515ee70854818040736c9752ddeb6c0e2f8294b02edfd5 0.00939050 e4cc29f4da9feaeccd5daf6922ab11497e846dd221d52e0c5e07b7e844a91ccf 0.00012000 9828d4835c7c0a0274d412b086500db2a9c12a79d36507bb61f94e3c20b8bd35 0.00100094 13c3a08da98d1e2c53a53e22e9077e625a4942b77ab0143411326aa2c11affc2 0.51572415 739b4ec1eaf8d89f4d5ce295dd8c6403c482102b632dbf315759c2b99c08d880 0.00000000 a1bc3d34989305a3acd33c135a182270f9e2d8fac4ad657486bc2b0eb7784ee8 0.00000000 bea75a8bcf8ef48e9d0442515e1d8264b7f7bd02a83ad8d922a3b2ee6c6c2c2f 0.00000000 294cb8dbfd9db40631fea20018535a8a5ee5ada21a5e771719db103cbd9c2432 0.00000200 c28b9e36c1b1ec8445a16ef570f045f2ce77ab972f97631753b77b0bdd22723b 0.00000000 a0eb30b010c294f038e304576e7a9d9fc3fc0a386d99609ae3ddb90489a28881 0.00000000 56bce678f5a64c34480e9098673e6b7968cfc6051e0314aac325baa14deebb02 0.00000000 f3b3f89efd7d60eb10d8cd1b5826a3694ec9c9601328b560bb848a8432eca82c 0.00059453 3bda55413e470c0affc306ee20be55508586e2172a5f0c8783a3c7a98ada3a81 0.00000000 a548b4efbb328373536d755885f4b8725b175699634a817fc043b92b73e4dcf5 0.00000000 3bcc57b0e57663a0024c861b61293c800ad8f9a6a3532aa8479b6cd4104e23a0 0.00000000 f03025916b2fb09affd4a5674c636b66eb52e138a8be41241603ff08c43014c4 0.00000000 9d8b454eb5ae9e5104fe7b1aef63a0907f2edb6b3547e65917978cdc04c20c7e 0.00000000 003cb1bb5b4bc93bb74e473a328e1d51e81b004eb42c9600691b49a05fe10b84 0.00000000 231fcc68091d96a56d0a420a86845701965463dc591a4b528787c475d32737ec 0.00000000

在我们于 2014 年 10 月 31 日发现后不久，攻击者或脚本清除了日志。

从之前的日志来看，他们在清除日志之前设法获得了 0.52853540 BTC（或在撰写本文时的 2014 年 11 月 1 日相当于 172.4 美元）。 我们还可以从钓鱼者钱包 (1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx) 的变化中看出，他们自 2014 年 10 月 26 日以来至少获得了 16.6328613 BTC（或等值于 2014 年 11 月 1 日的 5,430 美元）

因此，既然我们已经能够调查攻击者是如何进行攻击的，了解他们的欺诈行为是如何进行的，并且似乎可以立即验证他们从用户那里窃取的比特币，现在是时候仔细看看谁参与了，受谁的指使了并打电话。

追踪欺诈者：dispostable.com

对 bit-safe.org 的 whois 检查给了我们很多关于这两个域所有者的错误信息。 但是，我们在调查攻击者为这两个域使用的电子邮件地址时取得了成功：

dispostable.com 是一项免费的互联网服务。 它的功能镜像类似于。 它是一个免费的一次性电子邮件帐户网关，允许用户随时创建假电子邮件并在不创建真实帐户的情况下访问它们。 这意味着您可以创建无密码电子邮件帐户并将它们用于您的特定和非常临时的目的。 虽然这对攻击者或不想注册其他服务的用户有用，但它仍然提供了一个独特的机会来确定攻击者如何使用电子邮件帐户。

欺诈者的“一次性”电子邮件（哎呀？）

这使我们能够确认 bit-safe.org 是在 2domains.ru 上注册的帐户，它还为我们提供了一种从内部观察其他 VPS 的方法。 这个 VPS 是它通过 reg.ru 为网络钓鱼活动订购的。

其他一些有趣的片段让我们可以访问他们的 2domains.ru 帐户：

骗子的DNS登录信息

骗子的域帐户

钓鱼活动命令和命令：2domains.ru

通过访问网络钓鱼者的帐户淘宝上买比特币界面，我们能够确认这两个域均由 2domains.ru 托管和维护。 它还提供了一些关于网络钓鱼者如何使用这些帐户的见解：

经过进一步调查和审查，我们还能够找到钓鱼者用来处理这些账户的 IP 地址：

欺诈者用来登录 DNS 帐户的 IP 地址

用于登录该帐户的 IP 地址是：

联系起始 IP 的注册所有者

“31.6.30.0 – 31.6.30.255”的滥用联系人百分比是“noc@phgmt.com”

此时的下一步是联系上述 IP 的注册所有者

“31.6.30.0 – 31.6.30.255”的滥用联系人百分比是“noc@phgmt.com”

网络编号：31.6.30.0 – 31.6.30.255

网络名称：YHC-NET-CUST-3

描述：CH 动态 IP

国家： CH

管理员-c：PN2927-RIPE

技术-c：PN2927-RIPE

状态：已分配 PA2

mnt-作者：PN30323-MNT

来源：RIPE # 已过滤

人员：Powerhouse Management NOC

地址：WTC史基浦机场B座5楼

地址：史基浦大道231号

地址：1118 BH Amsterdam Schiphol

电话：+31 20 405 47 47

nic-hdl：PN2927-RIPE

mnt-作者：PN30323-MNT

来源：RIPE # 已过滤

然后我们尝试联系他们的滥用电子邮件 noc@phgmt.com 并立即得到回复。 未知发件人。 这真有趣。 下一步是研究地址本身，我们发现 IP 地址空间已注册到荷兰的 WTC Schiphol 机场。 我们用电子邮件向他们开枪并继续调查。

我们的下一个方向是研究网络钓鱼者用来登录其 2domains.ru 注册商的 IP 地址。 如果您注意上述 IP 空间的 whois 报告，它会将“YHC-NET-CUST-3”列为网络名称。 我们发现这个网络属于一家名为 IHC International BV 的公司。 它是一家在美国、英国和荷兰注册的公司。

我们还没有收到关于为什么他们的 HQ IP 在这次活动中被网络钓鱼者用来从 Coinbase.com 和 Blockchain.info 用户那里窃取比特币的答案。

骗局继续，网络钓鱼者在 10-31 日移动他的网站：bit-sec.org

欺诈继续，网络钓鱼者于 10 月 31 日将其网站移至：bit-sec.org

同一活动中同一网络钓鱼武器库中的最新站点。 它于 2014 年 10 月 31 日上线。我们于 2014 年 11 月 2 日找到它，将其包含泄露帐户的公共日志存档，并将其转发给相关方。 该网站随后于 2014 年 11 月 2 日关闭。

当前审查

截至 2014 年 10 月 31 日，我们有：

联系受影响的服务提供商

我们提供：

在联系 Coinbase.com 员工后，我们注意到 bit-safe.org 的 Coinbase 账户被迅速关闭。

2014 年 11 月 2 日早些时候，bit-sec.org 的 Conbase.com 网络钓鱼帐户仍然活跃于：

CoinBase 网络钓鱼者的虚假诈骗账户

Blockchain.info的员工还通过Cloudflare.com开展了封杀钓鱼服务器IP的活动。 当您尝试连接到这些网络钓鱼页面之一时，作为响应，它们连接到 Blockchain.info 以劫持您的登录（页面），您的浏览器将被重定向到“IP 已被黑客入侵”来自 Cloudflare.com 块”消息。

BitVPS.com 也通过关闭其托管的 207.12.89.127 服务器做出回应。 此服务器用于托管：bit-safe.org、bit-sec.org、colnlbase.com 和 blockckhain.info。

更新于 2014 年 11 月 2 日

当然，这些黑客有很多选择，所以我们在这里看到了 11 月 2 日重建后的网站。 欺诈者重新激活了 bit-sec.org 域名。 但当然，已经联系了服务器所有者，并且正在执行该政策。

攻击者通过新的服务提供商重建了他们的平台

另外，它还有一个新界面！ ID 看起来像是随机生成的无意义数字，但你已经知道了......

攻击者的网站，重新设计并于 2014 年 11 月 2 日上线（政策审查中）

Reddit 上关于网络钓鱼活动的讨论

网络钓鱼活动中使用的域和服务器：

总结

随着攻击者开始使用包括使用简单防火墙和在不同供应商处重新配置机器在内的反制措施来维护他们的平台，他们通过滥用单一域供应商的服务来规避其失败的努力被证明是没有创造性的。

对于欺诈者来说，这可能有点不幸。 在他们操作并泄露 Coinbase.com 和 Blockchain.info 账户后的几个小时内，我们发现了他们的攻击，我们的研究人员能够向适当的安全人员展示泄露账户的列表。

通过跟踪他们使用的一次性电子邮件帐户的作案手法、在 2domains.ru 上注册的域并观察区块链趋势，我们能够在传输时间内有效地关闭他们的操作。 尽管他们的工作草率，但他们的结果仍然非常有效。 他们仅通过向 Blockchain.info 的标记系统发送垃圾邮件，就能够在 2 周内泄露近 2000 个帐户。

不幸的是，虽然我们无法确定这场网络钓鱼活动背后的个人，但我们确实感到我们已经对他们施加了足够的压力，要求他们重新考虑他们的工作，同时也帮助拯救了无数卷入这场网络钓鱼活动的人。 如果我们不干预，这场钓鱼大战还会继续下去。

加密货币社区的成员已经对过去 3 年发生的盗窃和盗窃事件缺乏回应和披露感到麻木。 BITCOMSEC 旨在结束这种冷漠的趋势，并通过调查这些案例并向他们提供尽可能多的信息来激发人们对安全意识的强烈兴趣。 这将有助于常规的非安全类型了解问题的范围。

最后的想法

然而，由于我们专注于添加 TLD，这当然会导致我们产生一个困扰互联网的相关愿望，即您正在访问的网站是否真实、真实且可证明合法？ 在什么假设下你会接受你的证据？ 比特币迈出了向更广泛的受众介绍更深入的加密货币视角的第一步。 学习如何使用我们用来存储价值的技术只能改善人类状况。 请记住，如果某件事好得令人难以置信，那它很可能不是。 直到下一次，照顾好自己和其他人。

保护自己安全的提示

想帮助我们宣传对比特币社区更重要的安全主题吗？

－－－－