Один из саппорт-менеджеров криптовалютной биржи Kuna стал жертвой фишинговой атаки. В результате были украдены все деньги с его личных счетов на биржах Binance и Hotbit, а также слита личная переписка в Telegram. Об этом сообщил основатель биржи Kuna Михаил Чобанян.
По его словам, хакеры выработали четкий вектор атаки на криптовалютные проекты.
«Буквально пару дней назад я получил сообщение от младшего саппорта со ссылкой и текстом приблизительно следующего содержания: «необходимо собрать для криптовалютного проекта CryptoСompare дополнительную информацию по бирже, у меня не хватает прав, зайди по этому линку и введи какой-то код». Мне сразу стало понятно, что это не мой сотрудник. Параллельно я узнал, что аналогичное сообщение получили другие топ-менеджеры биржи Kuna. Мы подняли тревогу», — рассказал Михаил Чобанян.
Как выяснила служба безопасности Kuna, по ссылке запускается вредоносный скрипт, разработанный специально под компьютеры Mac. Он дает злоумышленникам полноценный доступ к компьютеру жертвы, открытым вкладкам, а также предоставляет возможность действовать от ее имени.
Таким образом хакеры получили доступ к переписке сотрудника Kuna с другими коллегами в Telegram, а также суммарно вывели около 1 BTC с бирж Binance и Hotbit.
«Злоумышленники использовали аккаунт саппорт-менеджера, чтобы выйти на меня, получить полноценный полноценный доступ к бирже и, вероятно, хотели украсть деньги, — предполагает Михаил Чобанян. — Тем не менее до того как сработала система безопасности, единственное, что успели злоумышленники — увидеть в открытых вкладках последние депозиты, и кроме как email, хэш, сумму и время транзакции они ничего не получили».
В связи с инцидентом CEO Kuna дал пользователям рекомендации:
- ни в коем случае не открывайте непонятные ссылки;
- перепроверяйте адресата, который отправил вам сообщение: знаете ли вы его, писал ли он вам с этого аккаунта;
- так как атака идет через Telegram, установите двухфакторную аутентификацию и сложный пароль. Для установки 2FA можно воспользоваться приложениями Authy, Google Authenticator, LastPass Password Manager;
- проверяйте активные сессии в Telegram. Если вы видите девайсы, на которые не устанавливали мессенджер, отключите эти сессии;
- если вы пользуетесь криптовалютными биржами, не поленитесь создавать отдельный email для каждой площадки.
Ранее американская криптовалютная компания Coinbase сообщила об аналогичной атаке, которая могла позволить хакерам получить доступ к ее системам и средствам на миллиарды долларов. Сотрудники компании также получили письма со ссылкой, при открытии которой в браузере Firefox устанавливалось вредоносное ПО, способное захватить устройство получателя.
Источник: forklog.com