Actus

Des attaquants contournent Coinbase et MetaMask 2FA via TeamViewer et un faux chat d’assistance

Par hfrance , le 22 novembre 2022 , mis à jour le 22 novembre 2022 - 6 minutes de lecture
bitcoin
5/5 - (1 vote)

Des attaques de phishing visant les comptes Coinbase, MetaMask, Crypto.com et KuCoin sont utilisées pour voler des crypto-monnaies en contournant l’authentification multifactorielle.

Les acteurs de la menace utilisent le service Microsoft Azure Web Apps pour héberger un réseau de sites de phishing, qu’ils utilisent ensuite pour inciter les gens à les visiter en leur envoyant des messages de phishing qui semblent être de fausses demandes de confirmation de transaction ou des alertes pour activité suspecte.

L’un des courriels de phishing utilisés dans les attaques, par exemple, prétendait provenir de Coinbase et indiquait que le compte avait été verrouillé en raison d’un comportement suspect.

Phishing email impersonating Coinbase
Email de phishing usurpant l’identité de Coinbase
Source : PIXM

Les cibles qui se rendent sur le site d’hameçonnage sont accueillies par une fenêtre de chat qui semble être destinée au “support client”, mais qui est en fait gérée par un escroc qui guide les utilisateurs à travers un système de fraude en plusieurs étapes.

Depuis que le groupe de menace a ciblé Coinbase en 2021, PIXM a gardé un œil sur cette campagne. Selon les analystes de PIXM, le champ d’action de la campagne a récemment été étendu à MetaMask, Crypto.com et KuCoin.

Contournement de 2FA

Les faux sites de phishing d’échange de crypto commencent l’attaque par un faux formulaire de connexion, qui est ensuite suivi d’une demande d’authentification à deux facteurs.

Les informations d’identification saisies lors de cette étape n’auront aucune importance ; les acteurs de la menace les voleront quand même. L’invite de la page suivante demande le code 2FA nécessaire pour accéder au compte.

2FA step of the phishing site
étape 2FA du site de phishing
Source : PIXM

Les attaquants testent les informations d’identification saisies sur le site réel, ce qui amène la victime à recevoir un code 2FA, qui saisit ensuite un 2FA légitime sur le site de phishing.

S’ils agissent avant l’expiration du délai, les acteurs de la menace tentent alors de se connecter au compte de la victime en utilisant le code 2FA saisi.

Il convient de noter que les phrases de récupération, plutôt que les informations d’identification ou les codes 2FA, sont la cible des attaques de phishing MetaMask.

Chatter avec les escrocs

Les chercheurs affirment qu’indépendamment de la réussite du code 2FA, les escrocs commencent la phase d’assistance par chat à l’écran de l’attaque.

Pour ce faire, ils présentent un faux message d’erreur demandant au visiteur de contacter l’assistance pour remédier au problème et indiquant que le compte a été suspendu en raison d’une activité suspecte.

Generating a fake login error
Génération d’une fausse erreur de connexion
Source : PIXM

Dans ce chat d’assistance, les acteurs de la menace engagent la conversation avec la victime ciblée pour la garder sous la main au cas où des informations de connexion supplémentaires, une phrase de récupération ou un code 2FA seraient nécessaires.

Selon le dernier rapport de PIXM, “ils demanderont à l’utilisateur son nom d’utilisateur, son mot de passe et son code d’authentification 2-Facteurs directement dans le chat.”

Ensuite, le criminel utilisera un navigateur sur son ordinateur pour tenter d’accéder une nouvelle fois au compte de l’utilisateur.

Pour les comptes qui ont été compromis avec succès, la victime reste en contact avec le service clientèle au cas où elle aurait besoin de confirmer des transferts de fonds pendant que les voleurs volent leur argent.

Les acteurs de la menace utilisent une méthode alternative pour authentifier leur appareil comme “digne de confiance” pour la plateforme de crypto-monnaie lorsqu’ils ne parviennent pas à accéder aux comptes via le chat d’assistance.

Ruse à distance

Les attaquants persuadent la victime de télécharger et d’installer l’application d’accès à distance “TeamViewer” afin de contourner l’obstacle de l’appareil authentifié.

Les victimes sont ensuite invitées à se connecter à leurs portefeuilles de crypto-monnaies ou à leurs comptes d’échange, et c’est à ce moment-là que les acteurs de la menace insèrent un caractère aléatoire pour empêcher la réussite de la connexion.

L’attaquant demande ensuite à la victime de coller son mot de passe dans le chat TeamViewer, se connecte à son appareil en utilisant ce mot de passe (moins le caractère aléatoire) et vole le lien d’authentification de l’appareil qui a été envoyé à la victime.

Stealing the device authentication link
Vol du lien d’authentification de l’appareil
Source : PIXM

Une fois que les acteurs de la menace ont accès au compte ou au portefeuille, ils le vident de tous les fonds tout en continuant à engager la victime dans le chat d’assistance.

Il est crucial de toujours prêter attention à l’adresse e-mail de l’expéditeur et à toute URL envoyée pour éviter d’être victime d’escroqueries dans des attaques comme celles-ci.

Vous devez immédiatement marquer l’email comme suspect et le supprimer si ces URL ne correspondent pas à la plateforme de crypto-monnaie.

Un échange de crypto-monnaies ne sera pas en mesure de récupérer vos fonds une fois qu’ils auront été transférés de votre portefeuille si vous tombez dans l’une de ces escroqueries, ce qui est regrettable.

L’image des plateformes de crypto monnaies

Il y a de celà 2 semaine une des plus grosse plateforme (FTX) a fait faillite. Elle emporte avec elle des centaines de millions de dollars perdu à tout jamais par les investisseurs. Les experts en cryptomonnaies recommande pour l’heure actuelle de ne plus utiliser ce genre de plateforme mais de conserver les crypto monnaies sur des portefeuille de type “Non Custodial”.

Ce type de portefeuille permet de posséder véritablement ses crypto monnaies puisque vous possédez la “seed phrase” de votre portefeuille. Elle permet de retrouver l’accès à vos cryptomonnaies.

En cherchant un peu nous avons découvert qu’il existe une marque Française qui propose ce type de portefeuille. Ledger est une société spécialisée des les portefeuilles crypto de type “cold wallet”. Le Ledger permet de valider manuellement et physiquement les transactions sur les blockchains mais aussi de conserver à froid vos cryptos. En effet le Ledger ressemble à une clé USB qui doit se brancher sur votre ordinateur.

Il est donc possible de la débrancher et donc de ne pas exposer votre clé à Internet, zone de tous les dangers.

Pour les intéressés la firme Française propose des codes promo pour le Ledger Nano X et le Ledger Nano S , vous pouvez en savoir plus sur ce site.

 

  • Yubico - YubiKey 5 NFC - Clé de sécurité USB et NFC à authentification à deux facteurs, s'adapte aux ports USB-A et fonctionne avec les appareils mobiles NFC pris en charge
    CLÉ DE SÉCURITÉ: Protégez vos comptes en ligne contre les accès non autorisés grâce à l'authentification à deux facteurs avec la clé de sécurité Yubico YubiKey 5 NFC - la clé de sécurité USB la plus efficace au monde qui prend en charge plus de services Internet et d'applications que toute autre FIDO: La YubiKey 5 NFC est certifiée FIDO et prend en charge Google Chrome ainsi que toute autre application compatible FIDO sous Windows, Mac OS ou Linux. Sécurisez votre connexion et protégez vos comptes Gmail, Facebook, Dropbox, Outlook, LastPass, Dashlane, 1Password et bien d'autres ADAPTÉ AUX CONNEXIONS USB-A: Une fois enregistré, chaque service vous demandera à l'avenir d'insérer la clé de sécurité YubiKey PC dans un port USB-A et de la toucher pour y accéder NFC-CAPABLE: Vous recevez également une authentification tactile pour NCF -Prend en charge les appareils et applications Android et iOS. Appuyez et partez DURABLE ET SÉCURISÉ: Extrêmement durable et sûr - Les YubiKeys sont inviolables, étanches et infroissables. La YubiKey 5 NFC USB est conçue pour protéger vos comptes en ligne contre le phishing et les prises de contrôle de compte SUPPORT MULTI-PROTOCOLE: l'authentificateur USB YubiKey prend en charge NFC et offre une prise en charge multi-protocoles, y compris FIDO (U2F, FIDO2), Yubico OTP, OATH-TOTP, OATH-HOTP, carte à puce (PIV), OpenPGP ainsi que la possibilité de contester réponse pour vous garantir une authentification matérielle forte Remarque: Fonctionnement de la YubiKey - 1. Enregistrez votre YubiKey - Pour utiliser la YubiKey, accédez aux paramètres de sécurité d'un service pris en charge et sélectionnez l'authentification à deux facteurs. 2. Insérez la YubiKey et appuyez sur - branchez la YubiKey dans un port USB sur un ordinateur et touchez la YubiKey pour vous assurer que vous êtes un humain, pas un pirate à distance. 3. Appuyez sur le téléphone - Pour les téléphones Android compatibles NFC, appuyez simplement sur une YubiKey 5 NFC contre le téléphone pour terminer l'authentification.
  • Yubico - Security Key NFC - USB-A - Two Factor Authentication Security Key
    The simplest way to secure your digital life - just tap your Security Key NFC to authenticate Protects the services you love including Microsoft accounts, Gmail, Facebook, Dropbox, Twitter, Outlook.com, Skype, Dashlane and hundreds of other services (LastPass users see special note below.) Tap-and-go authentication for NFC-enabled Android and Windows 10 devices and applications Security Key NFC is tamper proof, water resistant, and crush resistant Fits USB-A computer ports and designed to stay on your keychain

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.