חוקרי חברת האבטחה ESET גילו: אפליקציות מזויפות לסחר במטבעות וירטואליים גונבות לכם סיסמאות - 0404
חוקרי חברת האבטחה ESET גילו: אפליקציות מזויפות לסחר במטבעות וירטואליים גונבות לכם סיסמאות דוברות ESET ישראל

חוקרי חברת האבטחה ESET גילו: אפליקציות מזויפות לסחר במטבעות וירטואליים גונבות לכם סיסמאות

חוקרי חברת האבטחה ESET גילו בחנות האפליקציות הרשמית של גוגל אפליקציות זדוניות הגונבות פרטי כניסה לתוכנת סחר במטבעות וירטואליים.

משתמשים של התוכנה Poloniex הפופולרית, המשמשת לסחר במטבעות וירטואליים, נפלו קורבן לשתי אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-Poloniex, הנוכלים שמאחורי התוכנות המזויפות גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-Gmail שלהם.

Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות וירטואליים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה שלא הייתה אפליקציה רשמית.

בעקבות הרעש שעוררו המטבעות הוירטואליים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכולים – בין אם זה ניצול כוח המחשב של המשתמשים כדילכרות מטבעות וירטואליים דרך דפדפנים או באמצעות הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.

האפליקציות הזדוניות:

האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של Google בשם "POLONIEX", תחת מפתח בשם "Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.

האפליקציה השנייה, "POLONIEX EXCHANGE" של המפתח "POLONIEX COMPANY", הופיעה בחנות האפליקציות של Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם ESET.

בנוסף על ההודעה לGoogle-, הודיעו חוקרי ESET גם ל-Poloniex על המתחזים הזדוניים.

כדי להשתלט בהצלחה על חשבון Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-Poloniex הפרוץ, זאת כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.

שתי האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.

גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-Poloniex. אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.

במידה והמשתמש לא אפשר את האימות הדו-שלבי (2-factor authentication, 2FA) בחשבון ה-Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.

אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת מכיוון ש-Poloniex מציעה למשתמשים אימות דו-שלבי דרך Google Authenticator, שמייצרת סיסמאות כניסה אקראיות שנשלחות למשתמש באמצעות הודעת SMS, שיחה קולית או דרך האפליקציה – כולם מקומות שאינם נגישים לתוקפים.

אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם Google, המבקשת ממנו להתחבר לחשבון ה-Google שלו "בשביל בדיקת אימות דו-שלבית". לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים. אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.

כשיש להם גישה גם לחשבון ה-Poloniex של המשתמש וגם לחשבון ה-Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.

בשלב האחרון האפליקציה מפנה את המשתמש לאתר הבית האמיתי של Poloniex, שם הוא מתבקש להתחבר לחשבון, במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר Poloniex האמיתי.

דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות – ע"י מנתחי בטיחות, במקרה הזה – היא באמצעות מיסוך הכתובות אליהם נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות hxxp://połoniex.com ו- hxxp://poloniėx.com/עשויות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.

אם אתם משתמשים ב-Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלה, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-Poloniex וגם ל-Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.

אלו הדברים שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:

וודאו שהשירות בו אתם משתמשים אכן מציע אפליקציה לטלפון הנייד – אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.

שימו לב לדירוגי האפליקציה ולביקורות עליה.

היזהרו מאפליקציות צד-שלישי שמציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google – עברייני סייבר מרבים לנצל את האמון שמשתמשים נותנים ב-Google.

השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).

השתמשו בפתרון אבטחה אמין למובייל.