Les escrocs récupèrent des URL de crypto-monnaie mal orthographiées pour voler votre portefeuille


Wwwblockchain.com n’est pas une faute de frappe. Hlockchain.com ou blpckchain.com non plus.

Ces sites sont conçus pour duper les internautes qui tentent d’accéder à Blockchain.com, un site Web qui permet aux utilisateurs d’acheter et de vendre des crypto-monnaies.

Abonnez-vous à la newsletter The Post Most pour les histoires les plus importantes et les plus intéressantes du Washington Post.

Et il y a beaucoup d’argent dans les petites fautes de frappe. Un homme au Brésil a payé pour plus de 200 000 dollars de bitcoins entre novembre et février derniers pour ces adresses Web et d’autres fautes de frappe, selon les dossiers de vente divulgués après un piratage d’Epik, une société de services Internet favorisée par l’extrême droite. Il a également acheté conibase.com pour plus de 16 000 $, destiné à imiter Coinbase, un autre échange de crypto-monnaie.

« Le prix que cette personne a payé m’épate », a déclaré Zack Allen, expert de la société de cybersécurité ZeroFox.

Le prix élevé payé pour les adresses Web, parfois appelées domaines, indique que quelqu’un pense qu’il fera un profit substantiel. Les domaines se terminant par point-com coûtent environ 10 $ par an et les escrocs s’appuient souvent sur des domaines encore moins chers.

« Il existe une opportunité de monétisation très réelle », a déclaré Nick Nikiforakis, professeur d’informatique à l’Université Stony Brook qui a étudié le phishing – la technique consistant à utiliser des sites Web similaires pour voler des mots de passe. « Si quelqu’un vole vos identifiants, il peut immédiatement commencer à transférer votre argent de votre compte. »

Et, s’ils le font, les utilisateurs n’ont aucun recours, a déclaré Nikiforakis, en particulier parce qu’ils ont perdu de la crypto-monnaie, plutôt que de l’argent ordinaire. La crypto-monnaie, une forme de monnaie numérique dont le prix a récemment grimpé en flèche, s’appuie sur la cryptographie pour s’assurer que seul le propriétaire d’un « portefeuille » peut dépenser l’argent qu’il contient. Mais, une fois que ce portefeuille est volé, cette sécurité fonctionne pour protéger le voleur, ce qui signifie qu’il est presque impossible de le récupérer – même avec une ordonnance du tribunal.

Il n’est pas clair si les propriétaires de crypto-monnaie ont perdu de l’argent à cause des sites Web de fautes de frappe.

Mais le mois dernier, Coinbase a annoncé que 6 000 de ses clients se sont fait voler leur crypto-monnaie via une attaque de phishing, dans laquelle de fausses pages de connexion sont utilisées pour voler des mots de passe. L’attaque a profité d’une « défaut » dans le système de sécurité d’authentification à deux facteurs de Coinbase, a déclaré la société. Coinbase a déclaré avoir remboursé les clients, sans toutefois préciser le montant perdu. Il n’y a aucun lien connu entre cette attaque contre les clients de Coinbase et conibase.com.

L’homme avec une adresse brésilienne qui a acheté les domaines entre novembre et février n’a pas répondu aux demandes de commentaires du Washington Post envoyées en anglais et en portugais par e-mail et WhatsApp. Il n’est pas clair s’il contrôle toujours les noms de domaine ou s’il les a vendus à d’autres.

Coinbase et Blockchain.com ont chacun confirmé qu’aucune des deux sociétés ne possédait les URL conibase.com, wwwblockchain.com, hlockchain.com ou blpckchain.com. De même, Coinbase a déclaré qu’il ne possédait aucune des nombreuses autres variantes du nom de Coinbase liées à des certificats de sécurité et à un serveur partagé avec conibase.com, découverts via les données de ZeroFox et DomainTools, une autre société de cybersécurité.

Néanmoins, lorsque The Post a visité conibase.com et wwwblockchain.com, ils ont montré respectivement des copies des sites Coinbase et Blockchain.com.

« Nous prenons très au sérieux la sécurité de nos millions d’utilisateurs dans le monde et supprimons des centaines de campagnes de phishing par mois, éduquons régulièrement nos utilisateurs et effectuons une surveillance 24h/24 et 7j/7 », a déclaré Brooks Wallace, responsable de la communication de Blockchain.com. déclaration.

On ne sait pas pourquoi les domaines imitant les échanges de crypto-monnaie n’ont pas été détectés par les équipes de sécurité de Coinbase ou Blockchain.com et supprimés dans les mois qui ont suivi leur achat. Coinbase et Blockchain.com ont tous deux demandé que les domaines imitant leurs sites Web soient supprimés.

La propriété des adresses de sites Web – sans parler des prix de vente – n’est généralement pas publique. Cependant, le monde a un aperçu du monde de « l’investissement de domaine » grâce au piratage d’Epik. Il a été piraté en mars ; les données de ce piratage ont été publiées en septembre par des membres du groupe de piratage Anonymous qui ont souligné le soutien d’Epik aux sites Web d’extrême droite.

Mais la majeure partie des activités d’Epik ne semble pas avoir été l’extrême droite, mais plutôt des investisseurs de domaine. Les investisseurs de domaine légitimes achètent des noms de domaine – souvent pour environ 10 $ pour les adresses Web point-com, parfois moins pour d’autres suffixes – et les confient ensuite à quelqu’un qui souhaite les utiliser. Parfois, des adresses Web courtes ou particulièrement mémorables peuvent se vendre pour des sommes énormes, comme HealthInsurance.com, qui a vendu plus de 8 millions de dollars en 2019 à une entreprise qui commercialise des régimes d’assurance maladie. Les noms de domaine courts se vendent souvent par milliers. Les entreprises achètent souvent des versions mal saisies de leurs véritables adresses Web pour se protéger contre de telles attaques, a déclaré Allen, dont la société ZeroFox propose d’aider les entreprises à trouver et à acheter des domaines de fautes de frappe en leur nom.

Un porte-parole d’Epik, répondant à partir d’un compte de messagerie générique, a déclaré à The Post que « les typodomaines sont un niveau commun de domaines dans la communauté commerciale ».

Lorsque les investisseurs vendent des domaines – que ce soit à des cybercriminels ou à des entreprises légitimes – ils utilisent souvent un service d’entiercement pour s’assurer que ni l’acheteur ni le vendeur ne se fraudent mutuellement. Epik offrait un tel service, parallèlement à son rôle de registraire de domaine, vendant le droit d’utiliser une adresse Web particulière.

Selon les documents publiés dans le piratage, Epik a servi d’agent d’entiercement pour des centaines de transactions, y compris de nombreuses transactions légitimes. Epik semble avoir facturé des frais de 2,5% pour ses services d’entiercement, ce qui signifie qu’il a gagné environ 5 000 $ de la vente des fausses adresses Web d’échange de crypto-monnaie. La poste a confirmé l’authenticité des enregistrements en vérifiant auprès des acheteurs américains de domaines légitimes que les détails privés des transactions indiqués dans les enregistrements divulgués étaient corrects.

D’autres bureaux d’enregistrement également, pas seulement Epik, autorisent les domaines comportant des fautes de frappe, y compris des variantes de Coinbase et Blockchain.com liées à celles dont les enregistrements de vente ont été examinés par The Post.

« Nous ne pouvons pas contrôler l’intention que les acheteurs peuvent avoir avec des domaines individuels », a déclaré Epik.

Nikiforakis a évalué conibase.com à la demande de The Post et a déclaré qu’il montrait des signes révélateurs d’un « kit d’outils de phishing » qui fournit un moyen prêt à l’emploi d’usurper des sites Web courants, et pour lequel des modèles pré-cuisinés pour Coinbase et Blockchain.com sont facilement disponible en ligne.

Malgré les domaines de type typo sur lesquels une machine à dactylographier peu habile peut arriver, Allen a déclaré que les cybercriminels utilisaient probablement le courrier électronique pour attirer leurs victimes, citant des serveurs de messagerie qui avaient été configurés pour permettre l’envoi de courriers électroniques à partir des domaines Web.

Nikiforakis pense que des noms de domaine aussi coûteux pourraient utiliser le spearphishing – une campagne de phishing visant un petit nombre de personnes triées sur le volet. « Vous ne vous en prenez pas à moi et à vous avec quelques centaines de dollars sur vos comptes Coinbase, mais des gens avec des millions de dollars sur leurs comptes cryptographiques », a-t-il déclaré.

Cela contraste avec le modèle commercial typique des attaques de phishing, qui ont tendance à utiliser un grand nombre de domaines bon marché, afin de minimiser les coûts de détection. « Si j’achète un .xyz [domain] pour un dollar et je peux gagner deux dollars au moment où quelqu’un me bloque, je suis en avance », a-t-il déclaré.

Le site imitant Coinbase était « du côté le plus sophistiqué », a déclaré Allen, qui a évalué les adresses Web à la demande de The Post. Par exemple, plusieurs sites de fautes de frappe ont été activés à peu près en même temps. Et, a-t-il dit, le site a essayé de détecter automatiquement les visiteurs de type bot, en les envoyant à Google plutôt qu’à un faux site Coinbase.

Le site conibase.com a utilisé d’autres tactiques pour éviter d’être détecté. Plutôt que d’héberger sa copie de Coinbase directement sur conibase.com, les visiteurs de ce site ont été redirigés vers une autre adresse Web presque identique. Après que The Post ait visité ce site pour la première fois, la redirection a cessé de fonctionner. Ce type de redirection et d’évasion, a déclaré Nikiforakis, permet aux propriétaires de sites de phishing d’exercer un certain contrôle sur les personnes qui visitent leur site Web. Cacher les faux sites est couramment utilisé pour déjouer les enquêteurs et les logiciels de filtrage exploités par les sociétés de sécurité.

Contenu connexe

Un État n’a jamais accueilli de réfugiés. Accueille-t-il les Afghans ?

Le nouveau documentaire « Fauci » peut-il trouver un public après tant de fatigue pandémique ?

Les cas de Covid chez les enfants montent en flèche. Au Tennessee, la plupart restent démasqués et non vaccinés.

Laisser un commentaire