На этот раз предприимчивые киберпреступники сыграли на человеческой невнимательности.

Недавно представители криптовалютного кошелька MetaMask сообщили о новом виде мошенничества, с которым массово столкнулись его пользователи. Так называемое «отравление адресов» (от англ. «address poisoning») позволяет мошенникам похитить криптовалюту без использования каких-либо уязвимостей сервиса.

С одной стороны, этот метод довольно безобиден по сравнению с другими видами мошенничества. Однако он точно так же может привести к финансовым потерям.

Как это работает?

Этот метод, фактически, использует социальный инжиниринг. Если человеку требуется перевести деньги на тот же самый счёт, на который он уже переводил их ранее, он, вероятнее всего, просто повторит этот платёж. На первых порах отправитель ещё может сверять все данные, то на n-ный по счёту перевод всё будет происходить почти автоматически. Рутинная операция сводится к быстрому нажатию нужных клавиш, без каких-либо проверок. Злоумышленники делают ставку как раз на это.

В историю транзакций потенциальной жертвы мошенники «подмешивают» поддельные переводы. Когда пользователь MetaMask отправляет/получает криптовалюту, она отображается в списке недавних транзакций кошелька. При нажатии на дополнительные сведения отображается токен, отправленная или полученная сумма, а также адрес получателя в кратком представлении (несколько первых и последних символов). Тут и скрывается вся магия: мошенники используют для поддельных транзакций схожие по написанию адреса кошельков. Достаточно подобрать такой кошелёк, первые и последние символы которого совпадают или просто похожи на адрес, куда жертва часто переводит деньги. Бегло бросив взгляд на адрес мошенника, отправитель не заметит никакого подвоха, и осуществит транзакцию. Когда деньги не поступят на нужный кошелёк, уловка, вероятно, раскроется, но будет уже слишком поздно.

Рассмотрим схему подробнее

Чтобы инициировать атаку, мошенники отслеживают в блокчейне последние транзакции и находят самые подходящие для подобной манипуляции кошельки. Например, такие, откуда часто совершаются переводы на один и тот же адрес. А далее по схеме:

  1. Мошенник использует генератор адресов, чтобы создать себе криптокошелёк с похожим или почти идентичным адресом, куда жертва недавно переводила средства.
  2. Затем злоумышленник переводит небольшое количество криптовалюты на адрес отправителя. Этот шаг гарантирует, что транзакция отобразится в истории кошелька жертвы.
  3. Поскольку MetaMask сокращает адреса в истории транзакций, отображаемый адрес похож на более раннюю транзакцию пользователя. Отправителю кажется, что этот кошелёк принадлежит действительному лицу, которому он переводил криптовалюту ранее.
  4. В качестве последнего шага злоумышленник просто ждёт и надеется, что при следующем переводе жертва не будет внимательно сверять адрес, и осуществит нужную транзакцию.

Чтобы обезопасить пользователей сервиса, MetaMask предлагает использовать встроенную адресную книгу. В ней можно сохранять адреса, с которыми часто происходит обмен криптовалютой.

Не исключено, что в будущем провайдеры криптокошельков добавят в историю транзакций настройку, позволяющую отображать полный адрес получателя. Это бы ощутимо снизило риск подобных манипуляций.

Тем не менее, едва ли можно придумать надёжные меры защиты от человеческой невнимательности. В век кибермошенничества все финансовые операции в интернете нужно осуществлять неторопливо и взвешенно, чтобы не попасться на крючок злоумышленникам.

Источник: securitylab