Исследователь по безопасности разбирает мошеннический сайт Binance, чтобы найти хакеров

За шесть часов исследования незащищенного сервера исследователь безопасности Гарри Денли смог реконструировать — и, по-видимому, остановить — хитроумную фишинговую атаку, нацеленную на пользователей Криптo биржи Binance.

Его Средний постПодробно описывается деятельность на фишинговом сайте - logins-binance.com12754825.ml - который собирал логины и двухфакторные коды у сбитых с толку пользователей. Сервер выдавал то, что выглядело как стандартный логин Binance, и пользователь вводил свои учетные данные, а затем был вынужден ждать, предположительно, пока хакеры входили на его стороне.

К счастью, сервер был полностью открыт, и Денли смог найти инструменты, журналы и даже адреса электронной почты хакеров.

Джеремайя О'Коннор (исследователь безопасности в Cisco) перенаправил меня на домен, который занимался фишингом для входа в Binance — logins-binance.com12754825.ml.

У этого домена фишинговый набор отличается от предыдущих, которые мы видели, поскольку он изменяет процесс входа пользователя в систему для сбора личной информации, которая в конечном итоге используется в методах социальной инженерии — этот сервер не взаимодействует с доменом Binance.

Код также отправлял электронные письма различным злоумышленникам. Домены, которые он нашел, включая бессмысленный com12754825.ml , похоже, были закрыты, а электронные письма на встроенные адреса остались без ответа. Как мы видим, безопасность почти на 90% заключается в том, чтобы убедиться, что экраны входа и URL выглядят правильно, а остальное, похоже, — удача.

Денли — директор по безопасности вMyCrypto.comи последний раз он сообщил об огромной дыре вгенератор бумажных кошельков с открытым исходным кодом.

Изображение заголовка из архива CoinDesk