У січні відзначено суттєве зростання кількості витончених випадків «signature phishing» (фішинг на підпис), при цьому розмір збитків інвесторів у криптовалюти збільшився більш як на 200%.
За даними компанії з аудиту безпеки блокчейну Scam Sniffer, лише за перший місяць року внаслідок signature phishing з гаманців користувачів було викрадено близько $6,3 млн. Незважаючи на те, що сукупна кількість потерпілих скоротилася на 11%, сумарна вартість активів, що потрапила до рук зловмисників, підскочила на 207% порівняно з груднем.
Фішинг підписів і отруєння адрес завдають збитків у січні
Таке розходження є непрямим свідченням зміни тактики, яку використовують кіберзлочинці. Поточні тенденції схиляються до т. зв. whale hunting («полювання на крупних гравців»). Інакше кажучи, атака орієнтована не на масовий розрахунок, а на цілеспрямоване проникнення до гаманців осіб із значними криптоактивами замість численних невеликих роздрібних рахунків.
SponsoredФахівці Scam Sniffer уточнюють: лише двоє потерпілих у січні припадає майже на 65% усіх збитків від signature phishing-атак. Наймасштабніше окреме шахрайство обернулося для користувача втратою $3,02 млн – після того, як він підписав фіктивну дію із функцією «permit» або «increaseAllowance».
Такі механізми надають сторонньому суб’єкту безстроковий доступ для переказу токенів із гаманця. Контроль над активами здійснюється нічим не обмежено, уникнувши потреби погоджувати кожну окрему транзакцію через підпис користувача. Системно – значний прогал у захисті приватних фінансів.
Схеми signature-фішингу спираються переважно на спотворене трактування дозволів та прав доступу. Однак не менш руйнівний ризик у цій ніші створює явище, відоме як «address poisoning» (отруєння адреси). Цей метод отримав широке розповсюдження у секторі криптовалют.
Один із виразних епізодів – окремий інвестор у січні втратив $12,25 млн, скопіювавши підроблену адресу для переказу коштів із власного гаманця.
Address poisoning експлуатує повторювані людські дії: спеціально генеруються «lookalike» (схожі) або «vanity» (марнославні) адреси. Такі рядки навмисно імітують початкові та кінцеві символи дійсної адреси гаманця, яка вже зафіксована у транзакційній історії користувача.
Сподіваючись на неуважність, зловмисник розраховує, що власник просто копіює адресу із історії, не перевіряючи повну послідовність символів. Елементи людського фактора тут відіграють значну роль.
Сплеск таких випадків змусив Safe Labs (розробник популярного мультипідписного гаманця, відомого раніше як Gnosis Safe) офіційно попередити користувачів про підвищені ризики. Компанія ідентифікувала масштабовану соціоінженерну кампанію, що використовувала близько 5 000 підроблених адрес для атак.
«Виявлено цілеспрямовану діяльність зловмисників для створення тисяч дублікатів Safe-адрес, котрі введені у обіг з метою обману й спрямування переказів на хибні реквізити. Це типова схема соціальної інженерії у поєднанні з address poisoning», – про це заявлено представниками Safe Labs.
Відтак користувачам рекомендовано завжди перевіряти повну алфанумеричну послідовність одержувача перед будь-яким високовартісним переказом. Жодних компромісів із безпекою бути не може.
