Дослідник безпеки розриває шахрайський сайт Binance, щоб знайти хакерів

За шість годин подорожі незахищеним сервером дослідник безпеки Гаррі Денлі зміг реконструювати — і, мабуть, припинити — спритну фішингову атаку, націлену на користувачів Крипто Binance.

Його Середній пост детально описує дії на фішинговому сайті - logins-binance.com12754825.ml - який збирав логіни та двофакторні коди від збентежених користувачів. Сервер представляв щось схоже на стандартний вхід у Binance, і користувач вводив свої облікові дані, а потім був змушений чекати, імовірно, поки хакери ввійшли на його стороні.

На щастя, сервер був відкритий, і Денлі зміг знайти інструменти, журнали та навіть адреси електронної пошти для хакерів.

Джеремая О’Коннор (дослідник безпеки в Cisco) надіслав мені домен, який був фішинговим для входу в Binance — logins-binance.com12754825.ml.





Цей домен має інший набір для фішингу, ніж попередні, оскільки він змінює шлях входу користувача для збору особистої інформації для використання в методах соціальної інженерії — цей сервер не спілкується з доменом Binance.

Код також надсилав електронні листи різним зловмисникам. Домени, які він знайшов, у тому числі безглуздий com12754825.ml , здається, були закриті, а електронні листи на вбудовані адреси залишилися без відповіді. Як ми бачимо, безпека майже на 90% залежить від того, щоб екрани входу та URL-адреси виглядали правильно, а решта, здається, удача.

Денлі є директором безпеки в MyCrypto.com і востаннє він повідомив про величезну діру в генератор паперових гаманців з відкритим кодом.

Зображення заголовка через архів CoinDesk