複数の取引所がメールフィッシング攻撃を受け、40万ドル以上のBTCが盗まれた可能性がある

SlowMist Technologyによると、最近、多数のデジタル通貨取引所がSlowMistのセキュリティチームに脅迫メッセージを受け取ったと報告したという。

脅迫者は取引所に電子メールまたはTelegramメッセージを送信し、取引所に脆弱性があり、攻撃されるとプラットフォームを開くことができなくなると伝えた。脆弱性レポートを取得するには、指定されたアドレスにBTCを支払う必要があります。しかし、いくつかの取引所は、BTCを支払った後、相手側は予備的な脆弱性レポートを送っただけか、応答しなかったと述べています。

スローミストのパートナーでセキュリティディレクターのハイ・ジ・ワン氏はバビット氏にこう語った。

「5つの取引所からこの件について報告を受けました。脅迫者は異なるメールアドレスやTelegram IDを使用して、取引所の担当者に脅迫メールを送信しました。脅迫額は0.1BTCから2BTCの範囲で、異なるBTCアドレスが使用されました。」

記事執筆時点では、不完全な統計によると、脅迫者のTelegram IDは@zed1331 、 @bbz12 、 @samzzcyber 、電子メールアドレスは[email protected] 、BTCアドレスは3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxyとなっている。下の図に示すように、このアドレスは約 43.45 BTC (約 404,100 米ドル) を受け取りました。

Blockchain.com からのスクリーンショット

1

ワンピースはバビット氏に詐欺メールの原文を提供した（記事末尾の付録参照）。メールには、「取引所には『Webサービス整数オーバーフロー』の脆弱性があります。攻撃を受けると、Webサーバーがクラッシュし、最終的にはアクセスできなくなります...私たちはこの種の脆弱性の問題を解決できます...脆弱性レポートを入手するには、指定されたアドレスに2BTCを支払う必要があります。」と書かれていました。

注目すべきは、このメールには「2019年3月1日時点で約10万ドルの報奨金が受け取られており、報奨金を支払った組織にはKuCoin 、CoinSwitch、Phantasma、PlatonFinance、Vulnerability Analysis、STEX Exchange、XCOYNZ Projectなどが含まれている」とも記されていたことだ。

ワンピースはバビット氏に、KuCoin取引所の担当者に連絡したところ、確かにTelegramユーザーが脆弱性を報告した（下図参照）が、KuCoinは2BTCの報奨金を支払わず、詐欺師を信じないよう注意を促したと明かした。

KuCoin公式提供のスクリーンショット

Linkedin に関連したタイプのフィッシングメールもあり、一般的な内容は次のとおりです。

こんにちは、=> https://www.xxx.comに重要な整数オーバーフローの脆弱性が見つかりました
攻撃者は Web サーバーを変更する可能性があります。私はxxxのような大規模な取引所のセキュリティのアップグレードに取り組んだ経験があり、これについて提案したいと思います。
この脆弱性の実証を続けてもいいでしょうか?
LinkedIn でセキュリティ研究者として私を確認するには、次の手順に従ってください: => https://www.linkedin.com/in/xxxxx/

ワンピースは分析し、

「メールにはLinkedInのリンクが含まれています。LinkedInプラットフォームで個人情報を閲覧するには個人アカウントにログインする必要があるため、取引所のスタッフが脆弱性を報告した人物（おそらくフィッシング攻撃者）のLinkedInアカウント情報を閲覧するためにLinkedInアカウントにログインすると、攻撃者は取引所スタッフの情報も閲覧でき、ソーシャルプラットフォーム上の他の情報も入手できます。」

2

近年、デジタル通貨市場における資金量は爆発的に増加しており、取引市場操作リスク、取引プラットフォームリスク、詐欺リスク、ウォレットリスクなどのセキュリティリスクが一般的です。

上記のメールフィッシング攻撃に加えて、ドメイン名フィッシング（公式サイトに似た URL を使用）、Twitter 1 for 10（0.5～10ETH を支払って 5～100ETH のリベートを得る）、偽アプリ、偽スタッフなど、他の種類のフィッシング攻撃もあります。

いわゆる「フィッシング攻撃」とは、攻撃者が信頼できる人物や組織になりすまし、電子メール、通信ソフトウェア、ソーシャルメディアなどを通じて受信者のユーザー名、パスワード、秘密鍵などの個人情報を取得することを指します。

ワンピースは、今回のメールフィッシング攻撃で一部の取引所が騙された主な理由は、取引所に専門的なセキュリティ脆弱性の判断能力が欠けており、情報の隔離により現在の脆弱性の全体的な状況を正確に判断できないためだと考えています。彼は言った、

「取引所にとっては、相手が本当に脆弱性を発見したかどうかは関係なく、価格が適切であれば、お金を賭ける用意があります。賭けが正しければ、取引所は脆弱性が露呈することによる広報上の危機を避けたり、プラットフォームが攻撃される可能性を減らしたりすることができます。賭けが失敗しても、損失は大きくなく、許容できる範囲です。詐欺師は取引所のこの心理を利用します。」

初めてフィッシング攻撃を経験した取引所に対して、彼は次のことを推奨しています。

「まず、攻撃者が送信したリンクやファイルは、トロイの木馬やウイルスが含まれている可能性があるため、興奮して開かないでください。次に、攻撃者が脆弱性の正確な詳細をあなたに伝える前に、BTCを攻撃者に転送しないでください。最後に、取引所が正確な判断を下せず、独自に状況に対処できない場合は、セキュリティ会社に連絡して支援を求めることができます。」

添付（フィッシングメールの原文）：

これは、攻撃者が次の Web サイトの Web サーバーをクラッシュさせることができる脆弱性のようなものです。「整数オーバーフロー」関連。攻撃ベクトル自体には大きなセキュリティリスクがあり、悪用されると、Web サーバーがクラッシュし、最終的にはアクセスできなくなる可能性があります。この欠陥は、Web サイト上の悪用可能な Web 要素を通じて発生しました。

私たちの提案は、サイバーセキュリティに関する情報セキュリティ（infosec）に基づいています。

機密性: ファイアウォール、侵入検知器、防止テクノロジーを実装して情報セキュリティを賢明に支援し、信頼性の高いサービスの提供を保証します。 (実際のサーバーへのアクセスは必要ありません。)

可用性: 冗長性とバックアップに関する情報セキュリティを確保するために、サーバーの 1 つがダウンした場合、2 つ目のサーバーがそれを置き換え、ダウンタイムなしでサービスが稼働していることを保証します。

一般知識 => 実証されているこのタイプの攻撃は、Web サイトの要素を悪用することに基づいています。これには、フォーム、直接的な Web サーバーの悪用、または実際のバックエンドサーバーの DNS リークが含まれる可能性があり、悪意のある攻撃者に複数の攻撃機会を与えます。

私たちは、この種の脅威に対抗するために必要な知識について取り組みます。

以下に挙げる項目は、私たちが「対処すべき」各フェーズに関してレポートを送信する主な焦点です。

ご覧のとおり、何が含まれているかについての簡単な意味を追加しました。

• 監査プロセス 1.1 監査計画と準備 1.2 監査目的の設定 1.3 レビューの実施 1.4 レビューレポートの発行

• 監査システム 2.1 ネットワークセキュリティ 2.2 バックエンドのインストール/セキュリティ 2.3 API 監査 2.4 CDN + 悪意のある攻撃からの保護 2.5 コード監査: PHP / ASP / JS コードの脆弱性をチェック

企業による保証:

[保証については提供されたリンクを必ず確認してください。]

1. KuCoin => { https://i.imgur.com/y0AXMCn.jpg ]