Широкомащабна фишинг атака в Coinbase се представя за задължителна миграция на портфейл, като подвежда получателите да настроят нов портфейл с предварително генерирана фраза за възстановяване, контролирана от нападателите.

Имейлите са с тема „Мигрирайте към портфейл на Coinbase“ и в тях се посочва, че всички клиенти трябва да преминат към самостоятелни портфейли. Имейлът съдържа и инструкции как да се изтегли легитимният портфейл Coinbase Wallet.

„Считано от 14 март, Coinbase преминава към самостоятелни портфейли. Вследствие на колективен съдебен иск, в който се твърди, че има нерегистрирани ценни книжа и нелицензирани операции, съдът задължи потребителите да управляват собствените си портфейли“, се казва във фишинг имейла на Coinbase.

„Coinbase ще работи като регистриран брокер, позволявайки покупки, но всички активи трябва да се преместят в портфейла на Coinbase.“

„Вашата уникална фраза за възстановяване по-долу е вашата идентичност в Coinbase. Тя предоставя достъп до вашите средства – запишете я и я съхранявайте на сигурно място. Импортирайте я в Coinbase Wallet, като въведете всяка дума, последвана от spaсе.“

Имейлът твърди, че е от Coinbase, но има адрес за отговор noreply@akamai.com. Той също така е изпратен от IP адрес 167.89.33.244, който е IP адрес на SendGrid, който се разрешава чрез DNS до o1.soha.akamai.com.

Тъй като имейлът изглежда е изпратен директно чрез SendGrid и това, което изглежда е акаунтът на Akamai, той преминава през проверките за сигурност на имейлите SPF, DMARC и DKIM, заобикаляйки филтрите за спам на много акаунти.

От Akamai, разпространиха следното изявление:

„Akamai е наясно с докладите относно потенциална фишинг измама, насочена към потребителите на Coinbase, която включва имейл домейн на Akamai. Приемаме информационната сигурност много сериозно и активно разследваме въпроса“.

„Фишинг измамите остават широко разпространена киберзаплаха и призоваваме всички потребители да бъдат внимателни, ако получат нежелани имейли, особено такива, които изискват лична информация или информация за акаунт. Ако подозирате, че дадено електронно писмо може да е опит за фишинг, моля, третирайте го като такова и избягвайте да кликвате върху връзки или да предоставяте чувствителна информация.“

„Работим за справяне със ситуацията и ще продължим да наблюдаваме и намаляваме всички свързани рискове. Междувременно препоръчваме повишена бдителност, за да защитите личната си информация.“

Умна криптофишинг кампания

Това, което отличава тази фишинг кампания, е, че в имейла не присъстват никакви фишинг връзки, а всички връзки водят към легитимната страница на Coinbase Wallet.

Вместо това фишинг имейлът включва фраза за възстановяване, която според фишинг имейла трябва да се използва за настройване на новия ви портфейл в Coinbase.

Фразите за възстановяване, известни също като „семена“, са поредица от думи, които функционират като четима от човека версия на частния ключ на портфейла за криптовалута.

Всеки, който знае тази фраза за възстановяване, може да импортира портфейла на собствените си устройства, което му позволява да открадне всички криптовалути и НФЦ, съхранявани в него.

Докато повечето фишинг измами с криптовалути се опитват да откраднат вашата фраза за възстановяване, която след това се използва от нападателя, за да открадне средствата ви, тази действа в обратен ред.

Този фишинг имейл е много хитър, тъй като вместо да открадне фразата ви, ви дава такава, която вече е известна и контролирана от нападателя.

След като потребителят създаде нов портфейл с тази фраза и прехвърли средства в него, всички активи вече ще са на разположение на заплахата, която може да ги прехвърли в друг контролиран от нея портфейл.

Coinbase е наясно с измамата, като насочва към публикация в X, в която се казва, че никога няма да изпращат фрази за възстановяване на клиенти.

Пазете се от измами с фрази за възстановяване“, публикува Coinbase в X.

„Наясно сме с нови фишинг имейли, които обикалят, представяйки се за Coinbase и Coinbase Wallet. Никога няма да ви изпратим фраза за възстановяване и никога не трябва да въвеждате фраза за възстановяване, дадена ви от някой друг.“

За всички, които са попаднали на тази измама, ако средствата все още са налични в новосъздадения портфейл, трябва да побързате да ги прехвърлите обратно в своя, преди да бъдат откраднати.

Въпреки че правилото винаги е било никога да не споделяте фразата си за възстановяване с друг човек или уебсайт, сега то трябва да бъде разширено до това никога да не използвате възстановяване, споделено с вас чрез имейли и уебсайтове, тъй като те вероятно се използват за кражба на криптовалутата ви.