Один з саппорт-менеджерів криптовалютної біржі Kuna став жертвою фішингової атаки. В результаті були вкрадені всі гроші з його особистих рахунків на біржах Binance і Hotbit, а також злите особисте листування в Telegram. Про це повідомив засновник біржі Kuna Михайло Чобанян. За його словами, хакери виробили чіткий вектор атаки на криптопроекти.
«Буквально пару днів назад я отримав повідомлення від молодшого спеціаліста саппорту з посиланням і текстом приблизно такого змісту: « необхідно зібрати для криптовалютного проекту CryptoСompare додаткову інформацію по біржі, у мене не вистачає прав, зайди за цим лінком і введи якийсь код». Мені відразу стало зрозуміло, що це не мій співробітник. Паралельно я дізнався, що аналогічне повідомлення отримали інші топ-менеджери біржі Kuna. Ми підняли тривогу », – розповів Михайло Чобанян.
Як з’ясувала служба безпеки Kuna, по посиланню запускається шкідливий скрипт, розроблений спеціально під комп’ютери Mac. Він дає зловмисникам повноцінний доступ до комп’ютера жертви, відкритих вкладок, а також надає можливість діяти від імені жертви. Таким чином хакери отримали доступ до листування співробітника Kuna з іншими колегами в Telegram, а також сумарно вивели близько 1 BTC з бірж Binance і Hotbit.
«Зловмисники використовували аккаунт саппорт-менеджера, щоб вийти на мене, отримати повноцінний повноцінний доступ до біржі і, ймовірно, хотіли вкрасти гроші, – припускає Михайло Чобанян. – Проте до того як спрацювала система безпеки, єдине, що встигли зловмисники – побачити в відкритих вкладках останні депозити, і окрім email, хешу, суми і часу транзакції вони нічого не отримали ».
У зв’язку з інцидентом засновник Kuna дав користувачам рекомендації:
- ні в якому разі не відкривайте незрозумілі посилання;
- перевіряйте адресатів, які відправляють вам повідомлення: чи знаєте ви його, чи писав він вам з того ж аккаунту;
- так як атака йде через Telegram, встановіть двохфакторну аутентифікацію і складний пароль. Для установки 2FA можна скористатися додатками Authy, Google Authenticator, LastPass Password Manager;
- перевіряйте активні сесії в Telegram. Якщо ви бачите девайси, на які не встановлювали месенджер, вимкніть негайно ці сесії;
- якщо ви користуєтеся крипто біржами, не полінуйтеся створювати окремий email для кожного майданчика.
Раніше американська компанія Coinbase повідомила про аналогічну атаку, яка могла дозволити хакерам отримати доступ до її систем і ресурсів на мільярди доларів. Співробітники компанії також отримали листи з посиланням, при відкритті яких в браузері Firefox встановлювалося шкідливе ПО, здатне захопити пристрій одержувача.