BITCOMSEC致力于比特社区的安全性。当我们无意中发现了一个活跃于在线比特币钱包的骗局时, 我们就开展针对此类骗局一般行为方式的研究进行了讨论。
本调查起源于为一名申请者追查比特币盗窃信息。当分析区块链时,我们发现有大量的垃圾信息,而这些信息针对正在发送/接收比特币到热钱包的用户。一个热钱包是一个由商户、交易所和其它公司所使用的地址。这些机构使用一个单独的公共地址来开展他们绝大部分的比特币交易。这些高度活跃的地址允许一个长期攻击者持续监视入/出账交易,从而可定位并欺骗用户泄露他们的钱包登录信息到一个外观相似但由攻击者控制的网站。这种认证信息欺骗与盗窃行为称之为“网络钓鱼“。
攻击者通常无法定位其目标比特币地址相关的电子邮箱帐号。因此他们必须通过其它方式把钓鱼网址发送给目标用户。在此情况下,攻击者给目标地址发出含有小额比特币的交易,并附有一份包含钓鱼网址的公开消息以引诱用户点击并称在一个第三方网站上可获得更多比特币(BTC)。
钓鱼网站:bit-safe.org
我们的研究从bit-safe.org开始,因为我们在区块链中最早发现该域名。
当访问该站点时(在2014年11月1日)你会得到如下欢迎信息:
钩子:
Bit-safe.org钓鱼网站的前提,是目前在第三方保管处有16.34 比特币(BTC )(写作本文时相当于$5,315 USD)等着你。不久以后你将被重定向到Coinbase.com的应用认证界面,在此你将被提示用你的用户名/密码登录。一旦你登录到你的帐户,你基本上就允许钓鱼者通过该授权来完全控制你的帐户。
攻击:
完整的攻击地址:
https://www.coinbase.com/oauth/authorize?response_type=code&client_id=94540c6014fba5a7f641831cbb6db552ddcd5f06b9b638213ccd30075c1085ab&redirect_uri=https://colnlbase.com/payment.php注意:我最初删去了client_id,因为当我讨论这个主题时,我并不希望其他人出于好奇而被钓鱼欺诈。Coinbase.com随后禁用了这个认证/帐户。
一旦你登录到你的帐户并授权钓鱼者进行访问,你将被重定向到:
https://colnlbase.com/payment.php从HTTP日志(由钓鱼者草率地留着)判断,我们能够发现下面这个能初始化从Coinbase.com用户处自动偷窃的行为脚本。它会记录受害者的帐户,改变2FA设置,改变通知设置并最终发出提款请求。
Array
(
[id] => 544d20b3f243c0e074000001
[created_at] => 2014-10-26T09:26:27-07:00
[hsh] =>
[amount] => Array
(
[amount] => -0.00838956
[currency] => BTC
)
[request] =>
[status] => pending
[sender] => Array
(
[id] => 54405c1f113b32972e000001
=> [email]blockhash@mail.ru [name] => Andydsfdsfs fdsfsfdsfsf
)
[recipient_address] => 1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx
[notes] =>
[idem] =>
)
Array
(
[id] => 544d3c1657c91f47e8000001
[created_at] => 2014-10-26T11:23:18-07:00
[hsh] =>
[amount] => Array
(
[amount] => -0.51051534
[currency] => BTC
)
[request] =>
[status] => pending
[sender] => Array
(
[id] => 544930c245ec0a9882000002
=> [email]holler21@mail.ru [name] => Alexsey Matrosov
)
[recipient_address] => 1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx
[notes] =>
[idem] => )
我们也能找到一些被泄露的帐户名和数额:
7f42906566ffed6d6a305bccf962ce910c5c7bc97eac9d7e094299df543c7649 0.00012000
8daa92c45ea17ae82e515ee70854818040736c9752ddeb6c0e2f8294b02edfd5 0.00939050
e4cc29f4da9feaeccd5daf6922ab11497e846dd221d52e0c5e07b7e844a91ccf 0.00012000
9828d4835c7c0a0274d412b086500db2a9c12a79d36507bb61f94e3c20b8bd35 0.00100094
13c3a08da98d1e2c53a53e22e9077e625a4942b77ab0143411326aa2c11affc2 0.51572415
739b4ec1eaf8d89f4d5ce295dd8c6403c482102b632dbf315759c2b99c08d880 0.00000000
a1bc3d34989305a3acd33c135a182270f9e2d8fac4ad657486bc2b0eb7784ee8 0.00000000
bea75a8bcf8ef48e9d0442515e1d8264b7f7bd02a83ad8d922a3b2ee6c6c2c2f 0.00000000
294cb8dbfd9db40631fea20018535a8a5ee5ada21a5e771719db103cbd9c2432 0.00000200
c28b9e36c1b1ec8445a16ef570f045f2ce77ab972f97631753b77b0bdd22723b 0.00000000
a0eb30b010c294f038e304576e7a9d9fc3fc0a386d99609ae3ddb90489a28881 0.00000000
56bce678f5a64c34480e9098673e6b7968cfc6051e0314aac325baa14deebb02 0.00000000
f3b3f89efd7d60eb10d8cd1b5826a3694ec9c9601328b560bb848a8432eca82c 0.00059453
3bda55413e470c0affc306ee20be55508586e2172a5f0c8783a3c7a98ada3a81 0.00000000
a548b4efbb328373536d755885f4b8725b175699634a817fc043b92b73e4dcf5 0.00000000
3bcc57b0e57663a0024c861b61293c800ad8f9a6a3532aa8479b6cd4104e23a0 0.00000000
f03025916b2fb09affd4a5674c636b66eb52e138a8be41241603ff08c43014c4 0.00000000
9d8b454eb5ae9e5104fe7b1aef63a0907f2edb6b3547e65917978cdc04c20c7e 0.00000000
003cb1bb5b4bc93bb74e473a328e1d51e81b004eb42c9600691b49a05fe10b84 0.00000000
231fcc68091d96a56d0a420a86845701965463dc591a4b528787c475d32737ec 0.00000000
在我们于2014年10月31日发现后不久,攻击者,或者是脚本,清空了日志。
从前面的日志判断,清除日志前他们已设法获得0.52853540BTC(或在写作本文时的2014年11月1日相当于$172.4USD)。我们也能从钓鱼者钱包(1HZuNtG9S94v2cM39qrAxvJ8pCXuQEQxUx)的变化看到,从2014年10月26日起他们已至少获得16.6328613BTC(或在写作本文时的2014年11月1日相当于$5,430 USD)
因此,既然我们能够调查出攻击者的攻击方式,理解他们的欺诈如何进行,并且似乎即时验证了他们从用户处窃得的比特币,那么是时候该详细调查谁被涉及且他们听命于谁。
追查欺诈者:dispostable.com
对bit-safe.org所作的whois调查给我们提供不少关于这两个域名拥有者的虚假信息。然而当调查到攻击者为这两个域名使用的邮箱信息时,我们获得了成功:
litecoinhash@dispostable.comdispostable.com是一个免费的因特网服务。它的功能镜像类似于
https://mailinator.com。它是一个免费的一次性电邮帐户网关,允许用户随时创建虚假的电子邮件且不需要创建真实帐户就能访问它们。这意味着你能够创建无密码的电邮帐户,并将它们用于你特定且非常临时的目的。尽管这对攻击者,或者仅仅是不想注册其它服务的用户有用,它依然提供了一个独一无二的机会来确定攻击者如何使用电邮帐户。
欺诈者的“一次性”电邮(哎呀?)
这使我们得以确认bit-safe.org是在2domains.ru上注册的帐户,并且它也提供给我们从内部观察其它VPS的途径。该VPS由其通过reg.ru订购用于网络钓鱼战役。
另一些有趣的信息片断给了我们访问其2domains.ru帐户的途径:
欺诈者的DNS登录信息
钓鱼战役命令与指挥: 2domains.ru
通过访问钓鱼者的帐户,我们能确认这两个域名都由2domains.ru主持与维护。它也提供了一些关于钓鱼者如何使用这些帐户的启发:
·假名/身份
·通过预付方式付款
·他们放置一些真实的钱,以高效窃取比特币
·它们将一个真实的电话号码连接到帐户以确认帐户(我们只能看到最后4个号码)
经进一步调查评审,我们也能定位出钓鱼者用来处理这些帐号的IP地址:
欺诈者用来登录到DNS帐户的IP地址
用来登录帐户的IP地址为:
·31.6.30.44
·31.6.44.247
·31.6.44.92
·31.6.45.213
·31.6.45.96
联系起始IP的注册拥有人
% Abuse contact for ’31.6.30.0 – 31.6.30.255′ is ‘noc@phgmt.com’
此时的下一步就是去联系上述IP的注册拥有人
% Abuse contact for ’31.6.30.0 – 31.6.30.255′ is ‘noc@phgmt.com’
inetnum: 31.6.30.0 – 31.6.30.255
netname: YHC-NET-CUST-3
descr: CH Dynamic IPs
country: CH
admin-c: PN2927-RIPE
tech-c: PN2927-RIPE
status: ASSIGNED PA2
mnt-by: PN30323-MNT
source: RIPE # Filtered
person: Powerhouse Management NOC
address: WTC Schiphol Airport, Tower B, 5th Floor
address: Schiphol Boulevard 231
address: 1118 BH Amsterdam Schiphol
phone: + 31 20 405 47 47
nic-hdl: PN2927-RIPE
mnt-by: PN30323-MNT
source: RIPE # Filtered
我们随后尝试联系他们滥用的邮箱noc@phgmt.com并迅即得到一封回复邮件。未知的发件人。这很有趣。下一步是去研究其地址本身,并且我们发现该IP地址空间被注册到荷兰的WTC史基浦机场。我们用一封邮件向他们开了一枪并继续我们的调查。
我们得到的下一个方向是研究钓鱼者用来登录他们2domains.ru注册商的IP地址。如果你注意了上述IP空间的whois报告,那么其中列有“YHC-NET-CUST-3”作为网络名。我们发现这个网络属于一个名为IHC International BV的公司。这是一家在美国、英国与荷兰注册的公司。
我们尚未收到关于为何他们的总部IP被钓鱼者在这场战役里用于从Coinbase.com和Blockchain.info用户那里窃取比特币的原因的答复。
The Scam Continues, Phisher Moves his Site on 10-31: bit-sec.org
欺诈继续,钓鱼者于10月31日将其站点转移至: bit-sec.org
同一场战役中位于同样的钓鱼武器库中的最新站点 。它于2014年10月31日上线。我们已于14年11月2日对其定位,归档其含有泄漏帐户的公开日志并转发给适当的当事人。站点随后于2014年11月2日关闭。
当前回顾
到2014年10月31日为止我们已经:
·定位出大量Coinbase.com钓鱼页
·定位出大量Blockchain.info钓鱼页
·我们已定位并归档HTTP日志,泄漏帐户列表,从”payment.php”脚本得到的调试日志与错误日志。该脚本用于在这些站点上自动泄漏coinbase.com和blockchain.info上的用户帐户
·我们已定位出攻击者的IP地址
·我们已与Coinbase.com, Blockchain.inf, BitVPS.com(运行许多前述站点的托管主机服务器)进行过沟通
·我们已定位出至少一位被这些欺诈者偷窃比特币的受害者(16BTC), 帮助发布窃贼分析并引导它们前往Blockchain.info进行秘密接触
与受影响的服务供应商联系
我们提供:
· 域名/IP/钓鱼页的概念验证
· 包含TXID, HTTP日志与泄漏帐户/密码/余额的日志
·我们最新的调查信息
在我们与Coinbase.com的雇员联系后,我们注意到bit-safe.org的Coinbase帐户迅即被关闭。
CoinBase钓鱼者的虚假诈骗帐户
Blockchain.info的雇员也进行了通过Cloudflare.com来屏蔽钓鱼服务器IP的活动。当你试图连接其中之一的钓鱼页面时,作为回应,它们会连接到Blockchain.info以劫持你的登录(页),你的浏览器会被重定向到一个来自Cloudflare.com的“IP已被屏蔽”的消息。
BitVPS.com也已关闭他们托管的207.12.89.127服务器来回应。该服务器用于托管:bit-safe.org, bit-sec.org, colnlbase.com and blockckhain.info.
2014年11月2日更新
当然,这些黑客有大量选项,因此我们在这里看到如下在11月2日重建后的站点。欺诈者已重新激活bit-sec.org域名。但也理所当然地,服务器拥有者已经被联系过且正在执行政策的过程中。
攻击者通过一个新的服务供应商重建了他们的平台
此外,它也有一个新界面!ID看上去是一个随机产生的毫无意义的数字,但你已经知道…
攻击者的网站,重新设计并在2014年11月2日上线(正在政策审核中)
Reddit发布了关于钓鱼战役的讨论
http://www.reddit.com/r/Bitcoin/comments/2i5gzg/largescale_phishing_attack_via_satoshi_spam/http://www.reddit.com/r/Bitcoin/comments/2kgiwy/new_blockchain_phishing_site/ 用于钓鱼战役的域名和服务器:
·前序:
http://blockckhain.info/ -> 155.254.36.248 (apexy.com)
·前序:
http://bit-sec.org/ -> 155.254.36.248 (apexy.com)
·前序:
http://blockckhain.info/ -> 207.12.89.127 (BitVPS.com)
·前序:
http://bit-sec.org/ -> 207.12.89.127 (BitVPS.com)
·blookchaln.info -> 目前暂停。涉及钓鱼战役 – 相同攻击者.
·193.124.94.57 -> bbckchain.info
·194.58.42.201 -> bbckchain.info
·193.124.201.52 -> bbckchain.info
·193.124.201.51 -> bbckchain.info
·193.124.44.24 -> blockdhain.info = 正在积极地盗窃登录信息
·bloclkohain.info -> 目前非活动,处于服务器到服务器的过渡中
·193.124.44.24 -> cryptomsgr.com
·bitmsqr.com -> 目前非活动
·blockohah.info ->目前非活动
·lastpassw.com ->目前非活动
·satoshileaked.com ->目前非活动
总结
当攻击者开始以包括使用简单的防火墙以及在不同服务商处重新配置机器的对策来维护他们的平台时,他们通过滥用一个单域名供应商的服务以规避其失败的努力证明其缺乏创造力。
这可能对欺诈者而言有些不幸。在他们开始操作并泄漏Coinbase.com和Blockchain.info帐号的数小时内,我们发现了他们的攻击,并且我们的研究人员能够给适当的安全人员展示出泄漏帐号的列表。
通过跟踪他们使用的一次性电邮帐号,在2domains.ru上注册的域名以及关注区块链以发觉趋势的作案手法,我们能在转移时间内有效地关闭其操作。尽管他们的工作本身比较草率,他们的结果仍然高效。他们能在2周内仅仅通过向Blockchain.info的标签系统发送垃圾邮件来泄漏接近2000个帐号。
很不幸地,尽管我们不能确认这场钓鱼战役背后的个体,我们确实感到我们施加了足够的压力以使他们重新考虑其工作,同时也帮助挽救了这场钓鱼战役中无数的其他人。如果我们不干预,这场钓鱼战役仍会继续下去。
加密货币社区的成员已因对过去3年中发生的窃贼和失窃案缺乏回应与披露变得麻木。BITCOMSEC旨在结束这种冷漠的趋势,并通过调查这些案件且向他们提供尽可能多的信息来推动对安全意识的浓厚兴趣。这将帮助常规的非安全型(人士)理解问题的范围。
最后的思考
然而,自从我们聚焦加入到TLD,这当然会使我们产生一个相关的困扰因特网的愿望,即你正在访问的站点是否真正的、现实上的且可证明是合法的?且在何种假设下你会接受你的证据?比特币已经朝着将一个更深层的加密视角介绍给更广大从未有过的观众迈出了第一步。学习如何使用这些我们用来储存价值的技术仅仅只能改善人类状况。要记住,如果一样事情太好了以至于不像是真的,那它很可能就不是真的。直到下次,照顾好你自己,以及其他人。
保持你自身安全的技巧
·不要授权任何应用程序以任何理由访问你的比特币钱包和帐户,除非你能证明它是合法的
·密切关注登录页的地址。如果不确定,那你干脆自己键入地址以访问目标网站
·留意SSL证书错误
·即使SSL证书看起来似乎合法 – 点击域名旁的锁图标,并确认你目标公司的域名、名字和联系信息
本文关键词:BlockChain.info CoinBase.com 泄漏 比特币 bitcomsec 网络钓鱼 欺诈 安全 钱包
想要帮助我们传播比特社区更需注意的安全主题的消息么?
分享这个链接或者赞助这个项目以使我们前进!
关于BITCOMSEC
追踪我们:
https://twitter.com/bitcomsec----
原文:
https://bitcomsec.true.io/bitcomsec/coinbase_com-and-blockchain_info-bitcoin-wallet-phishing-scam-exposed/ 作者:BITCOMSEC
译者:bilcos90
译者BTC地址: 1PmnqwdH59SNZTk1JsMxJrkupZWFf5srfK
稿源(译):巴比特资讯
