Người dùng Coinbase phải đối mặt với tấn công lừa đảo ngày càng tăng

16:09 | 31/07/2021

Tiền điện tử ngày càng có giá trị đã khiến tội phạm mạng càng tập trung vào các sàn giao dịch tiền điện tử, trong đó có Coinbase.

Giá trị của tiền điện tử ngày một tăng đã thu hút sự chú ý của tội phạm mạng. Và các sàn giao dịch tiền điện tử cũng là một mục tiêu cho tội phạm mạng. Coinbase là sàn giao dịch lớn nhất tại Mỹ và các nhà nghiên cứu đã phát hiện ra nhiều chiến dịch lừa đảo nhằm vào người dùng của sàn giao dịch này.

Quy mô và giá trị của Coinbase là khá ấn tượng. Sàn khẳng định mình có hơn 56 triệu người dùng đã được xác minh ở hơn 100 quốc gia. Khối lượng giao dịch của sàn là khoảng 335 tỷ USD và với 223 tỷ USD tài sản.

Các nhà nghiên cứu tại công ty chống tấn công lừa đảo INKY (Mỹ) đã phát hiện ra hàng chục chiến dịch lừa đảo hiện đang nhắm vào người dùng Coinbase. Trong một bài đăng trên blog mới đây, công ty mô tả một chiến dịch được thiết kế để đánh cắp thông tin đăng nhập trên Coinbase nhằm lấy cắp tiền điện tử, các thông tin tài chính và thông tin cá nhân.

Chiến dịch này sử dụng một email được viết và trình bày kỹ càng, trong đó có chứa biểu tượng Coinbase. Nội dung có rất ít dấu hiệu cho thấy là lừa đảo - không có lỗi chính tả và sử dụng văn phong, ngữ pháp tốt. Tuy nhiên, chỉ khác với email hợp lệ đến từ Coinbase rằng "chúng tôi đã phát hiện hoạt động trái phép và đã khóa tài khoản của bạn" mà thay bằng "chúng tôi đã thực hiện yêu cầu vô hiệu hóa tài khoản của bạn". Việc kích hoạt lại tài khoản yêu cầu nhấp vào nút hiển thị trên màn hình và nhập lại thông tin đăng nhập.

Email được gửi từ một tài khoản email đã bị đánh cắp. Nếu bị đánh lừa và nhấp vào nút được hiển thị trong email, nạn nhân sẽ được gửi đến một bản sao giả mạo hoàn hảo của trang đăng nhập Coinbase hợp lệ. Trang giả mạo này được lưu trữ trên trang web của một công ty cải tạo mái nhà của Đức. Thao túng các trang web hợp lệ, sau đó sử dụng chúng để lưu trữ và cất giấu tài liệu trong các trang mồ côi (orphan page) là một hành vi phổ biến đối với tội phạm mạng.

Trong trường hợp này, bằng chứng trực quan duy nhất cho thấy trang web là giả mạo đó là trong thanh địa chỉ của trình duyệt (‘bedachungen-bauer[.]de’ chứ không phải ‘coinbase[.]com/signin’). Bất kỳ thông tin đăng nhập nào cung cấp cho trang giả mạo này đều được thu thập ngay lập tức và gửi cho tội phạm mạng.

Coinbase đã kêu gọi người dùng sử dụng xác thực hai yếu tố (2FA). INKY cảnh báo rằng điều này có thể là không đủ an toàn. Mặc dù không được sử dụng trong chiến dịch này, nhưng tội phạm mạng có thể sử dụng các nền tảng tấn công man-in-the-middle (chẳng hạn như Evilginx) để lấy mã thông báo 2FA được gửi đến máy khách lừa đảo. Evilginx sử dụng máy chủ Nginx HTTP để ủy quyền các trang web thực cho nạn nhân, thu thập bất kỳ mã thông báo 2FA nào mà trang web có thể gửi dưới dạng cookie trình duyệt cho khách hàng.

Lừa đảo vẫn là một trong những hướng tấn công tội phạm phổ biến nhất, và lừa đảo người dùng dường như là mục tiêu dễ dàng hơn hack sàn giao dịch. Tuy nhiên, các vụ hack sàn giao dịch cũng không phải là không thường xuyên. Vụ trộm bitcoin trị giá gần 500 triệu USD đã dẫn đến sự sụp đổ của sàn giao dịch MtGox vào năm 2014 - sàn giao dịch bitcoin lớn nhất thế giới vào thời điểm đó. Tuy nhiên, việc đánh cắp bitcoin trên sàn giao dịch bởi một “ví nóng” từ năm 2011 đến năm 2014 là khá chậm. Vào năm 2019, sàn giao dịch Binance đã mất 7.000 bitcoin (khi đó trị giá hơn 41 triệu USD), cũng bị đánh cắp từ một “ví nóng”.