تیر ۲۴
دبیر خبر | ۲۸ خرداد ۱۳۹۹

جعل کردن یک وب‌سایت ارسال پیام خصوصی با هدف سرقت بیت کوین کاربران

کلاه‌برداران با ایجاد یک وب‌سایت جعلی و با استفاده از تشابه نام دامنه آن با سایت پرایونوت (Privnote) به‌دنبال سرقت ارزهای دیجیتال قربانیان بودند.

به گزارش کارگروه امنیت سایبربان به نقل از کوین دسک، روز یکشنبه برایان کربس (Brian Krebs) در وبلاگ امنیت سایبری خود به کاربران در خصوص یک سایت کلاه‌برداری فیشینگ که با استفاده از تشابه نام دامنه سایت «privnote.com» به آدرس «privnotes.com» اقدام به کلاه‌برداری از کاربران می‌کند، هشدار داد.

آن‌طور که کربس متوجه شد سایت جعلی، پیام‌ها را به‌درستی و کامل رمزگذاری نمی‌کند و می‌تواند پیام‌های ارسالی کاربران را بخواند و یا حتی آنها را تغییر دهد.

این وب‌سایت جعلی طوری برنامه‌نویسی شده که پیام‌های حاوی آدرس بیت‌ کوین را شناسایی کرده و آن آدرس‌ها را پاک می‌کند. سپس به‌جای آن، آدرس کیف پول بیت کوین کلاه‌برداران را جایگزین کرده و سپس به گیرنده ارسال می‌کند.

کربس در پست خود می‌گوید:

مادامی‌که آدرس فرستنده و گیرنده پیام یکی نباشد، شما هر آدرس کیف پول بیت کوینی را که وارد کنید این وب‌سایت آن را به آدرس دیگری تغییر می‌دهد.

او همچنین افزود:

تا همین اواخر من نمی‌توانستم بفهمم که هدف «Privnotes» چیست، اما حالا ماجرا برایم کاملاً واضح و روشن است.

كربس توضیح داد كه از طرف صاحبان پرایونوت به او اطلاع داده شده است كه کسی وب‌سایتی با دامنه مشابه وب‌سایت آن‌ها به راه انداخته و در حال فریب کاربران سایت اصلی است.

کربس در وبلاگ خود نوشت:

فهمیدنش سخت نیست. Privnotes.com به‌طرز گیج‌کننده‌ای از لحاظ نام و ظاهر مشابه با نسخه اصلی است و همچنین در نتایج جستجوی گوگل برای «privnote» در جایگاه دوم قرار دارد. علاوه‌ بر این اگر کسی اشتباها عبارت «privnotes» را در گوگل جستجو کند، در صدر نتایج جستجو لینک تبلیغاتی را با تیتر مشابه وب‌سایت اصلی مشاهده می‌کند، لینکی که او را به وب‌سایت جعلی هدایت خواهد کرد.

نتایج جستجوی privnotes در گوگل

چیزی که باعث می‌شود فهم و کشف این کلاه‌برداری سخت‌تر شود این است که قربانیان قادر نیستند برگردند و آدرس بیت کوین ارسال‌ شده را چک کنند. زیرا با این پیغام سایت روبه‌رو می‌شوند که پیام‌ها ارسال، خوانده و پاک شده‌اند. آلیسون نیکسون (Allison Nixon) مدیر ارشد تحقیقات در «Unit 221B» که به شناسایی و بررسی این کلاه‌برداری فیشینگ کمک کرده است، گفت اگر آدرس بیت کوین در متن پیام ارسالی بیش از یک‌بار تکرار شود، اسکریپت این وب‌سایت جعلی فقط نمونه اول آدرس بیت کوین را تغییر می‌دهد.

نیکسون می‌گوید:

کسانی که از پرایونوت برای فرستادن آدرس کیف پول بیت کوین خود استفاده می‌کنند کسانی‌اند که به‌‌خاطر مسائل احراز هویتی تمایل ندارند این کار را از طریق دیگری انجام دهند. این یک کلاه‌برداری بسیار هوشمندانه است.

کلاه‌برداری‌های مربوط به بیت کوین در ماه‌های اخیر رو به افزایش بوده است، این کلاه‌برداری‌ها همزمان با بالاگرفتن نگرانی‌های مرتبط با بحران ویروس کرونا بیشتر نیز شده است. در اواخر ماه مارس (اواسط فروردین ۹۹) به ساکنان بریتانیا اخطار داده شد که در پی بالاگرفتن هراس عمومی در این خصوص، کلاه‌برداری‌ها از طریق پیام‌های جعلی که به‌ظاهر از طرف نهادهای رسمی ارسال می‌شوند بالا گرفته است.

کربس در این خصوص می‌گوید:

حتی اگر شما هرگز از برنامه پیام رمزگذاری شده «Privnote.com» استفاده نکنید و یا قصد استفاده از آن را هم نداشته باشید، این کلاه‌برداری اهمیت این موضوع را روشن می‌کند که چرا باید در هنگام استفاده از موتورهای جستجو دقت بیشتری برای یافتن سایت‌هایی که قصد دارید داده‌های حساس خود را در آن‌ها به‌کار ببرید، داشته باشید.

نظرات