В своем выступлении на конференции по безопасности BSidesSF аналитик по безопасности Gemini Рик Рамгатти в деталях рассказал о методах борьбы с фишинговыми аферами, которые использует криптобиржа.
Его речь "Крючок, леска и подсечка: ‘погружение’ в фишинговые сайты" (YouTube) описывает передовые тактики, используемые для выявления и пресечения действий злоумышленников, нацеленных на держателей криптовалют.
Как сообщается в блоге биржи, фишинговые атаки, особенно "атаки посредника" (AiTM), представляют значительную угрозу для безопасности. AiTM-атаки предполагают использование злоумышленниками обратных прокси-серверов. Этот метод позволяет им обойти многофакторную аутентификацию (MFA) и получить несанкционированный доступ к конфиденциальной информации.
Рамгатти описал случай, когда фишинговый сайт перехватил учетные данные и коды 2FA для доступа к учетным записям пострадавших. Мошенники использовали инструменты автоматизации, такие как 2Captcha, для быстрого решения CAPTCHA, что показало ограниченность традиционных средств защиты от автоматизации.
Чтобы противостоять этим угрозам, Gemini приняла жесткие меры безопасности. Обнаружив, что злоумышленники меняют адреса электронной почты жертв, чтобы получить доступ к проверочным ссылкам, Рамгатти разработал решение, требующее доступа к текущему почтовому ящику до внесения каких-либо изменений. Это позволило предотвратить дальнейшие взломы, поскольку злоумышленники не могли получить доступ к проверочным ссылкам, отправленным на оригинальные адреса электронной почты.
Кроме того, команда безопасности Gemini использует методы поиска угроз для выявления фишинговых сайтов. Анализируя внутренние запросы фишинговых порталов, Рамгатти обнаружил, что злоумышленники часто раскрывают свою инфраструктуру при перенаправлении жертв на подлинные сайты.
В одном случае он обнаружил более 200 фишинговых сайтов, настроенных на кражу учетных данных пользователей, которые затем собирались и отправлялись злоумышленникам. Это открытие подчеркнуло важность тщательной настройки и мониторинга серверов.
В другом примере пользователи Gemini были атакованы фишинговой кампанией по электронной почте, в которой утверждалось, что они получат криптоактивы по airdrop. Пользователи, нажавшие на кнопку "Продолжить", попадали на поддельную целевую страницу, напоминающую домашнюю страницу Gemini, где им предлагалось подключиться к кошельку Web3, что в конечном итоге приводило к краже их активов.
К счастью, функция отчетности MetaMask позволяет оперативно блокировать фишинговые домены, предлагая более быстрое решение, чем традиционное информирование хостинг-провайдеров.
По мере развития методов фишинга, Gemini продолжает совершенствовать свои протоколы безопасности, чтобы защитить своих пользователей. Проактивный подход биржи, сочетающий поиск угроз и передовые меры безопасности, служит примером для криптовалютной индустрии.
