Независимый ИБ-эксперт Уэсли Нилен (Wesley Neelen) обнаружил интересную фишинговую кампанию, которая за считанные часы принесла своим операторам более 15 000 долларов.

Все началось с того, что Нилен получил фишинговое письмо, якобы от администрации реально существующего сервиса Myetherwallet.com. В послании, которое можно увидеть ниже, говорилось, что ресурс готовится к грядущему хардфорку, в связи с чем пользователей просят перейти по приведенной в письме ссылке, разблокировать аккаунт и проверить баланс.

 

Ссылка из письма вела на сайт, который внешне полностью копировал настоящий Myetherwallet. Более того, злоумышленники использовали юникод, и если присмотреться внимательно, на приведенном ниже скриншоте можно заметить, что буква «T» в адресе сайта имеет странную точку снизу. Использование спецсимволов позволило атакующим зарегистрировать домен максимально похожий на настоящий Myetherwallet.com.

Если жертва попадалась на удочку мошенников и вводила свои учетные данные на этом фальшивом сайте, преступники немедленно использовали эту информацию для входа в настоящий кошелек пострадавшего и выводили все денежные средства.

Хотя сам Нилен сразу заметил подмену, эксперт решил изучить вредоносный сайт повнимательнее, и быстро обнаружил, что некоторым пользователям повезло гораздо меньше, чем ему. Подключив к расследованию своего коллегу, Нилен обнаружил на сайте лог, в котором были собраны данные всех кошельков, пострадавших от рук мошенников. Как выяснилось, только на одном из обворованных кошельков хранилось 42,5 ETH, то есть порядка 12 500 долларов. Другие кошельки содержали более скромные суммы, но в итоге суммарный «заработок» преступников все равно составил 52,56 ETH ($15 875) всего за два часа.

В конце своего отчета специалист с грустью отмечает, что ресурс мошенников находится на так называемом "пуленепробиваемом" хостинге, так что вряд ли можно ожидать, что кто-то прислушается к жалобам, и сайт вскоре уйдет в оффлайн.

Фото: Dearbytes

10 комментариев

  1. Аватар

    guccifer

    26.10.2017 at 14:50

    Что за то пуленепробиваемый хостинг ? У этого сайта ?

  2. Аватар

    0ri0n

    26.10.2017 at 18:49

    поддерживаю вопрос. Самому интересно

  3. Аватар

    appo

    26.10.2017 at 19:49

    blazingfast.io
    87/30, Zhylianska Street, Office 402
    Kyiv 01032
    Ukraine

  4. Аватар

    Themistocles

    26.10.2017 at 22:09

    Зайдите, проверьте, какие проблемы) адрес то есть

    • Аватар

      guccifer

      27.10.2017 at 08:19

      походу локалка, пути ведут на гоудедди а потом наверно на какой то хоум хостинг у себя в кладовке. Может нам редакция хакера подскажет что за хостинг у этого сайта Myetherwalleţ.com ?

      • Аватар

        john_

        11.11.2017 at 16:34

        Очень умно светить свою кладовку, да, наверняка все преступники так и делают.

        Пуленепробиваемый — стоит немного дороже обычных, зато они тебя не заблокируют, даже если будешь распространять цп. Но это неточно.

    • Аватар

      guccifer

      27.10.2017 at 08:20

      походу локалка, пути ведут на гоудедди а потом наверно на какой то хоум хостинг у себя в кладовке. Может нам редакция хакера подскажет что за хостинг у этого сайта Myetherwalleţ.com ??

  5. Аватар

    JamesJGoodwin

    27.10.2017 at 14:57

    Интересно, а как вообще на этот домен можно перейти, если он не резолвится?

  6. Аватар

    Ann2509

    29.10.2017 at 10:06

    Пуленепробиваемый хостинг – это хостинг, который зарегистрирован на месте, которое находится за пределами остальных государств, и поэтому они с этим сделать ничего не могут. Мда. 😑

Оставить мнение