Angesichts der jüngsten Nachrichten über den israelischen Bancor-Raub (bei dem Krypto-Währungen im Wert von 23,5 Millionen Dollar mit einer kompromittierten Wallet gestohlen wurden) ist es ziemlich offensichtlich, dass die kriminelle Aufmerksamkeit bezüglich Krypto-Währungen nicht von den jüngsten Einbrüchen im Kurswert von Währungen wie Bitcoin und Ethereum beeinträchtigt wurde. Um Zugang zu Krypto-Währung Wallets und Exchanges zu erhalten, scheinen Kriminelle jedes Werkzeug in ihrer Trickkiste zu entstauben. Zusätzlich zu der im Folgenden beschriebenen Phishing-Technik für Webseiten sehen wir auch gefälschte Online-Anzeigen mit Website-Namen, die die Methode der IDN-Homographie verwenden, bei der ein gefälschter Domänenname erstellt wird, der auf den ersten Blick dem wahren Domänennamen sehr ähnlich erscheint; E-Mails, die die Aussicht auf vergünstigte Krypto-Währungen enthalten, nur um das Opfer zum Download von Ransomware zu bringen; die Erstellung von gefälschten Wallets und Bitcoin-Malware zum Diebstahl.
So sind wir letzte Woche auf eine Webseite gestoßen, die von Cyrens Sicherheits-Cloud blockiert wurde, die vorgibt, die Seite für Luno zu sein, ein Service, der den Kauf und die Aufbewahrung von Bitcoin und Ethereum erleichtert. Da der Link mittels E-Mail-Phishing-Kampagnen verteilt wird, enthält die gefälschte Webseite einen eingebetteten JavaScript-Code, der Remote-Inhalte über einen HTML-Inline-Frame (iframe) lädt. Der Iframe wiederum führt zu einer Anmeldeseite, die der Luno-Anmeldeseite ähnelt. Um die Illusion zu erwecken, dass die gefälschte Website legitim ist, wird der Titel der Seite auf der Registerkarte auf Luno gesetzt und verwendet ein Favicon ähnlich dem Favicon, das von der echten Luno-Website verwendet wird.
Falsche Seiten von der echten Luno Seite unterscheiden
Der erste Hinweis für jedes potentielle Opfer, dass die Seite gefälscht ist, ist die URL, die sich deutlich von der normalen Luno-Login-Adresse unterscheidet. Zusätzlich zeigt die URL ein Symbol für ein Schloß mit einer roten Linie an. (Im Gegensatz zur echten Luno-URL, die ein grünes Schloß anzeigt.) Im Firefox-Browser ist das graue Schloß mit einer roten Linie ein Indikator dafür, dass die Seite nur teilweise verschlüsselt ist und somit offen für Angriffe ist. (Google Chrome verwendet das rote Dreieck anstelle eines grünen Vorhängeschlosses, um anzuzeigen, dass eine Website entweder nicht sicher oder gefährlich ist.
Wenn jedoch das beabsichtigte Opfer die URL nicht bemerkt, gibt es ein paar weitere Anzeichen dafür, dass diese Luno-Website nicht das ist, was sie zu sein scheint.
- Der Titel der Webseite zeigt „Anmelden | Luno“, aber das Anmeldeformular enthält Anweisungen zum Aktualisieren des Kontos (das nicht auf der echten Luno-Seite erscheint).
- Anstatt nach dem Passwort für das Luno-Konto des Benutzers zu fragen, fordert das Formular ein „E-Mail-Passwort“ an.
Mit Fake-Daten testen ob die Seite gefälscht ist
Denken Sie daran, dass eine Standardtechnik zum Testen der Gültigkeit einer Website die Eingabe von „Dummy“-Anmeldeinformationen (eine gefälschte E-Mail-Adresse und ein gefälschtes Passwort) ist. Eine echte Website würde sofort erkennen, dass diese Anmeldedaten nicht in ihrem System registriert sind, und würde den Versuch ablehnen. Die gefälschte Luno-Seite geht jedoch davon aus, dass die E-Mail-Adresse echt ist und öffnet ein neues Formular, das nach dem Passwort und der Telefonnummer des Luno-Kontos fragt.
Nachdem wir die gefälschten Informationen eingegeben und auf die Schaltfläche Aktualisieren geklickt haben, leitet uns die Seite auf die echte Luno-Website weiter.
Wie man an den obigen Screenshots sehen kann, ähnelt die gefälschte Seite stark der echten Luno-Seite. Einer der Gründe dafür ist, dass die Macher der gefälschten Seite einen JavaScript-Code verwendet haben, der mit den Modulen der echten Luno-Website identisch zu sein scheint.