Необычная атака на инфраструктуру кошелька Electrum началась 21 декабря 2018 года, и проблема до сих пор не была решена до конца. Пользователи уже лишились более 200 биткоинов, что немногим меньше миллиона долларов США по текущему курсу. Разработчики Electrum называют происходящее фишинговой атакой и, в сущности, они правы, это действительно фишинг, однако не совсем обычного формата.
Неизвестный хакер (или группа хакеров) нашли способ показывать пользователям легитимных кошельков выглядящие официально сообщения, согласно которым, нужно немедленно загрузить и установить обновление Electrum из репозитория на GitHub. Указанный в сообщениях репозиторий, конечно, принадлежит сами злоумышленникам и распространяет малварь, ворующую криптовалюту.
Хотя один вредоносный репозиторий атакующих был удален администрацией GitHub, согласно данным СМИ и жалобам пострадавших, атака уже возобновилась с новой ссылкой, ведущей на новый репозиторий. Дело в том, что основная проблема заключается вовсе не в репозитории, а в самой возможности атакующих транслировать подобные фишинговые сообщения пользователям.
Атака работает весьма просто:
- атакующий добавил в сеть Electrum десятки вредоносных серверов;
- пользователи легитимных кошельков инициируют Bitcoin-транзакцию;
- как только эта транзакция достигает одного из подконтрольных преступникам серверов, тот отвечает ошибкой – фишинговым сообщением, которое побуждает пользователя срочно загрузить «обновление» с вредоносно сайта (репозитория GitHub);
- пользователь кликает по ссылке и загружает вредоносный апдейт;
- после его установки открывается уже вредоносная версия кошелька, которая тут же запрашивает у жертвы код двухфакторной аутентификации (который в нормальных обстоятельствах запрашивается лишь при передаче средств);
- получив код, поддельный кошелек Electrum использует его для кражи средств пользователя и переводит их на адрес преступников: https://www.blockchain.com/btc/address/14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5.
Таким образом, основная проблема заключается в том, что серверам Electrum позволено показывать пользователям кастомные всплывающие сообщения прямо внутри кошельков. Более того, атаки первой волны сработали так хорошо из-за того, что сообщения преступников были прекрасно отформатированы, выглядели вполне официально, и жертве нужно было лишь кликнуть по приведенной ссылке.
В настоящее время разработчики Electrum уже выпустили обновление 3.3.2 и лишили атакующих возможности создавать такие «красочные» фальшивки, теперь фишинговые сообщения выглядят так:
К сожалению, даже в таком виде поддельные сообщения об ошибках по-прежнему находят новых доверчивых жертв. Некоторые пользователи умудряются вручную скопировать уже «некликабельную» ссылку, вставить ее в браузер и все равно загрузить вредоносное обновление.
Разработчики предупреждают, что доверять следует только официальному сайту electrum.org и ни в коем случае не загружать Electrum из других источников.
не будьте редисками, подпишитесь на юную светлую голову ;) @ezavarov
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
С новым годом!!!
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
@ezavarov, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
shafarevich, spinner, t3ran13, ili, dmitrijv, anykeycheg, oleg257, dayver, brainmechanic, kinoshka, snaryaga, mp42b, graff0x, dim447, charisma, evgeniybb, doublingseason, kito-boy, analise, aim, cryptobitcoinpro
Поэтому я тоже проголосовал за него!
Так как Вы голосуете за мои посты, я проголосовал на 3% сильнее!
dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас: