Οι απατεώνες παρακολουθούν κάθε tweet που περιέχει αιτήματα για υποστήριξη στο MetaMask, το TrustWallet και άλλα δημοφιλή crypto-πορτοφόλια και απαντούν σε αυτά με scam links μέσα σε λίγα δευτερόλεπτα.
Για τη διεξαγωγή αυτών των στοχευμένων επιθέσεων phishing, οι απατεώνες κάνουν κατάχρηση των API του Twitter που τους επιτρέπουν να παρακολουθούν όλα τα δημόσια tweets για συγκεκριμένες λέξεις-κλειδιά ή φράσεις.
Εάν υπάρχουν αυτές οι φράσεις, αυτά τα ίδια προγράμματα θα κατευθύνουν τα Twitter bots υπό τον έλεγχο του απατεώνα να απαντούν αυτόματα στα tweets ως ψεύτικοι πράκτορες υποστήριξης με links σε scams που κλέβουν πορτοφόλια cryptocurrency.
Αυτές οι επιθέσεις δεν είναι κάτι καινούργιο, και είχε γίνει και μια σχετική αναφορά γι΄αυτές τον Μάιο. Ωστόσο, αυτές οι επιθέσεις έχουν επεκταθεί και σε άλλα cryptocurrencies και οι απάτες συνεχίζουν να είναι ανεξέλεγκτες.
Η ανατομία του Twitter crypto scam
Σε δοκιμές που διεξήγαγε το BleepingComputer, τα tweets που περιέχουν τις λέξεις «υποστήριξη» ή «βοήθεια» μαζί με λέξεις-κλειδιά όπως «MetaMask», «Phantom», «Yoroi» και «Trust Wallet» θα οδηγήσουν σε σχεδόν στιγμιαίες απαντήσεις από Twitter bots με ψεύτικες φόρμες υποστήριξης ή λογαριασμούς.
Άλλες λέξεις-κλειδιά έχουν μικτά αποτελέσματα, όπως τα ονόματα των πορτοφολιών και η λέξη “stolen”.
Η πρώτη δοκιμή αυτών των cryptocurrency scam bots ήταν να συσκευαστεί ένα tweet με πολλές λέξεις-κλειδιά και να δει το Βleepingcomputer τι συμβαίνει.
Στη συνέχεια, πραγματοποίησε περαιτέρω δοκιμές για να προσπαθήσει να περιορίσει ποιες λέξεις-κλειδιά θα ενεργοποιούσαν τις απαντήσεις του bot.
Μέσα σε δευτερόλεπτα από τη δημοσίευση των δοκιμών μας, λάβαμε απαντήσεις από πολλούς λογαριασμούς scam που προσποιούνται ότι είναι λογαριασμοί υποστήριξης MetaMask και TrustWallet, “προηγούμενα θύματα” ή χρήσιμοι χρήστες.
Όλες οι scam-απαντήσεις έχουν ένα κοινό σκοπό – να κλέψουν τις φράσεις ανάκτησης για το πορτοφόλι ενός θύματος, τις οποίες οι εισβολείς μπορούν να χρησιμοποιήσουν για να εισάγουν το πορτοφόλι στις δικές τους συσκευές.
Για να κλέψουν τις φράσεις ανάκτησης, οι απειλητικοί φορείς δημιούργησαν φόρμες υποστήριξης στα Google Docs και σε άλλες πλατφόρμες cloud.
Αυτές οι φόρμες υποδύονται μια βασική φόρμα υποστήριξης, ζητώντας από τον χρήστη τη διεύθυνση email του, το πρόβλημα που αντιμετωπίζει και τη φράση ανάκτησης του πορτοφολιού του, όπως φαίνεται από την ψεύτικη φόρμα υποστήριξης MetaMask παρακάτω.
Όταν ζητούν τη φράση ανάκτησης, περιλαμβάνουν χαζο-εκφράσεις σχετικά με την επεξεργασία της από το “encrypted cloud bot”, πιθανόν να προσπαθήσουν να πείσουν τον χρήστη να δημοσιεύσει τις ευαίσθητες πληροφορίες.
Μόλις σταλεί η φράση ανάκτησης στους εισβολείς, το παιχνίδι έχει τελειώσει και έχουν πλέον πλήρη πρόσβαση στο cryptocurrency μέσα στο πορτοφόλι σας και μπορούν να το μεταφέρουν σε άλλα wallets που ελέγχουν.
Πριν υποθέσετε ότι κανείς δεν πέφτει θύμα αυτών των απατών, δυστυχώς αυτό είναι αναληθές και σε πολλοί χρήστες του Twitter έχουν κλαπεί τα πορτοφόλια, τα cryptocurrencies και τα NFT τους.
Μην μοιράζεστε ποτέ τις φράσεις αποκατάστασης!
Κατά γενικό κανόνα, δεν πρέπει ποτέ να μοιράζεστε τη φράση ανάκτησης του πορτοφολιού σας με κανέναν. Η φράση ανάκτησης είναι μόνο για εσάς και κανένα νόμιμο άτομο υποστήριξης από το MetaMask, το TrustWallet ή αλλού δεν πρόκειται να σας την ζητήσει.
Είναι επίσης σημαντικό να θυμάστε να μην κοινοποιείτε την οθόνη σας με έναν μη αξιόπιστο χρήστη, ο οποίος στη συνέχεια σας ζητά να εμφανίσετε τη φράση ανάκτησής σας. Σε εκείνο το σημείο, μπορεί απλά να τραβήξει ένα screenshot και στην συνέχεια να την χρησιμοποιήσει για τις επιθέσεις τους.
Τελικά, αυτές οι επιθέσεις θα συνεχιστούν, εκτός εάν το Twitter βρει έναν τρόπο να αποτρέψει αυτά τα bots από την αχαλίνωτη λειτουργία, να περιορίσει τη χρήση συγκεκριμένων λέξεων-κλειδιών ή να θέσει πιο αυστηρούς ελέγχους για το ποιος μπορεί να εγγραφεί στην πλατφόρμα προγραμματιστή τους.
Πηγή πληροφοριών: bleepingcomputer.com
