Компания SlowMist, занимающаяся безопасностью блокчейнов, предупредила о всплеске фишинговых атак, совершаемых самозванцами, выдающими себя за журналистов, в недавно запущенной децентрализованной социальной сети friends.tech.
Впервые об этом было отмечено 14 октября, когда пользователь Twitter Масивей сообщил о вредоносном коде, нацеленном на Friend.tech с целью кражи аккаунта. Согласно расследованию команды безопасности SlowMist, ссылка, которой поделился злоумышленник, содержала вредоносный скрипт JavaScript.
Атакующий процесс
Согласно выводам SlowMist, вредоносный скрипт был специально нацелен на пользователей friends.tech, уделяя особое внимание ключевым лидерам мнений (KOL), которые из-за своей популярности могли получать приглашения на собеседования. Злоумышленник применил стратегию слежения за людьми в целевой сети Twitter, создавая ложное чувство общности, когда пользователи посещали страницу злоумышленника в Twitter.
Методика работы включала планирование интервью, указание пользователям присоединиться к Telegram для интервью и предоставление плана. Пользователи, полагая, что взаимодействие было законным, приняли участие в двухчасовом интервью с предполагаемыми хозяевами, ожидая публикации на авторитетном новостном сайте.
После интервью злоумышленник предложил пользователям заполнить форму и открыть предоставленную фишинговую ссылку под предлогом проверки. Ссылка, призванная предотвратить выдачу себя за другое лицо, предписывала пользователям подтвердить свою учетную запись friends.tech, перетащив кнопку «Подтвердить» на панель закладок и щелкнув ее после посещения веб-сайта friends.tech.
Открыв закладку, содержащую вредоносный скрипт JavaScript, пользователи по незнанию раскрыли учетные данные своей учетной записи friends.tech, включая пароль (2FA) и токены, связанные со встроенным кошельком Privy. Это представляло значительный риск, поскольку как учетная запись пользователя на сайте friends.tech, так и связанные с ней средства были подвержены краже.
«Наш основатель Кос также подчеркнул серьезность таких атак. Если ваш независимый пароль, то есть 2FA для Friend.tech, украден, и вы настроили информацию, связанную с Friend.tech и его встроенным кошельком Privy (включая другие соответствующую информацию в localStorage), то открытый текст вашего закрытого ключа также может быть украден».
На этом этапе учетная запись становится практически непригодной для использования, если только friends.tech не захочет предоставить жертве новый закрытый ключ и связанный с ним адрес кошелька.
Меры по предотвращению фишинговых атак
Безудержные атаки социальной инженерии и фишинговые атаки нанесли ущерб пространству Web3, особенно потому, что они быстро развиваются. В SlowMist сообщили, что у жертвы этого инцидента, которая просто практиковала навыки английской речи, в конечном итоге были украдены все средства на сайте friends.tech. Тем не менее, фирма подробно описала некоторые меры, которые помогают выявить потенциальные атаки.
Они включают повышение осведомленности об атаках социальной инженерии, воздержание от нажатия на незнакомые ссылки и изучение методов распознавания фишинговых ссылок (таких как проверка орфографических ошибок или чрезмерной пунктуации в доменных именах и обеспечение их соответствия официальным доменам). SlowMist также рекомендовал пользователям устанавливать антифишинговые плагины.
Это не первый случай, когда у пользователей friends.tech крадут цифровые активы.
В прошлом месяце известный сетевой исследователь ZachXBT сообщил, что пользователи Friend.tech стали объектом манипуляций с SIM-картами. Несколько дней спустя команда, стоящая за платформой, представила функцию пароля 2FA для повышения безопасности пользователей и защиты от атак с заменой SIM-карты.
Источник