Un investigador de seguridad desmantela un sitio web fraudulento de Binance para encontrar a los piratas informáticos.

En una caminata de seis horas a través de un servidor inseguro, el investigador de seguridad Harry Denley pudo reconstruir, y aparentemente detener, un inteligente ataque de phishing dirigido a los usuarios del intercambio de Cripto Binance.

Su Publicación medianaSe detalla la actividad en un sitio de phishing (logins-binance.com12754825.ml) que recopilaba datos de inicio de sesión y códigos de dos factores de usuarios confundidos. El servidor presentaba lo que parecía un inicio de sesión estándar de Binance y el usuario introducía sus credenciales, obligándolo a esperar, presumiblemente mientras los hackers iniciaban sesión.

Afortunadamente, el servidor estaba completamente abierto y Denley pudo encontrar herramientas, registros e incluso direcciones de correo electrónico de los piratas informáticos.

Jeremiah O'Connor (investigador de seguridad de Cisco) me reenvió un dominio que ha estado phishingizando datos de inicio de sesión de Binance: logins-binance.com12754825.ml.

Este dominio utiliza un kit de phishing diferente a los que hemos visto anteriormente, ya que modifica el proceso de inicio de sesión del usuario para recopilar información personal que, con el tiempo, se usará en métodos de ingeniería social. Este servidor no se comunica con el dominio de Binance.

El código también envió correos electrónicos a varios actores maliciosos. Los dominios que encontró, incluido el ONE com12754825.ml, parecen haber sido cerrados y los correos electrónicos a las direcciones incrustadas no recibieron respuesta. Como vemos, la seguridad se basa casi en un 90 % en asegurar que las pantallas de inicio de sesión y las URL se vean correctamente, y el resto, al parecer, es cuestión de suerte.

Denley es Director de Seguridad enMyCrypto.comY lo último que informó fue sobre un enorme agujero enun generador de billeteras de papel de código abierto.

Imagen de encabezado vía CoinDesk Archive