Internettbaserte svindelmetoder begynner å blir rimelig tallrike, og nå rapporterer sikkerhetsselskapet Check Point Research om en ny svindeltrend som retter seg spesifikt mot brukere av kryptovaluta.
På hjemmesidene sine redegjør selskapet for en phishing-metode som innebærer å stjele penger fra folks krypto-lommebøker ved hjelp av Googles søkemotor.
Ondsinnede annonser
Svindelen innebærer å benytte falske phishing-nettsider som etterligner kjente og etablerte krypto-lommebøker, først og fremst de to tjenestene Phantom og Metamask, til å lure folk til å gi fra seg passord og de private nøklene.
Phantom og Metamask er de mest populære lommebøkene for kryptovalutaene Ethereum – som er den nest største på markedet, og Solana, som også ligger høyt på topplisten.
Tradisjonelle phishing-kampanjer baserer seg ofte på e-poster med lenker, men denne kampanjen skiller seg markant ut fra standarden, kan Check Point opplyse. Svindlerne leder nemlig ofrene til de falske nettsidene med annonser som plasseres øverst i Googles søkemotor.
Ved å bruke annonsefunksjonen plasseres phishing-nettsidene over de vanlige resultatene, hvor man finner de legitime utgavene av lommebøkene, noe som øker sannsynligheten for at folk klikker seg inn på de ondsinnede sidene.
Lures til å oppgi passfrase
Når man klikker disse annonsene tas man til den falske Phantom-nettsiden, som ber brukeren om å enten opprette en ny lommebok eller bruke en hemmelig passfrase for gjenoppretting av en eksisterende konto.
Begge alternativene serverer brukeren en melding om å benytte den hemmelige passfrasen for gjenoppretting av kontoen, samt utfylling av passordet.
Saken er at passfrasen i realiteten tilhører bakmennenes lommebok. Det innebærer at brukeren intetanende vil logge seg inn på denne lommeboken, i stedet for å opprette/gjenopprette en ny lommebok.
Dersom man overfører midler vil disse dermed havne ret i bakmennenes hender. Sikkerhetsselskapet sier at bakmennene gjerne har mange lommebøker under den samme kontoen.
Etter at denne prosessen er gjennomført videresendes man ifølge Check Point til den legitime Phantom-nettsiden. For brukeren er det svært vanskelig å skille mellom den falske og den legitime siden, fordi førstnevnte skal være mer eller mindre identisk med den legitime tjenesten når det gjelder design.
Har stjålet flere millioner kroner
Det samme type angrepet gjelder for Metamask-lommeboken, men med den forskjellen at angriperen også forsøker å stjele brukerens private nøkkel for å få tilgang til lommeboken dersom man allerede har en. Om man ikke har en lommebok får man en passfrase som gjør at tyvene kan stjele midler ved overføring.
Også med Metamask-svindelen tas brukeren til en falsk nettside som ligner svært mye på de legitime siden.
Check Point anslår at rundt en halv million dollar, cirka 4,2 millioner kroner, er blitt stjålet gjennom den nye kampanjen hittil. Dette beløpet vil trolig fortsette å stige, da sikkerhetsselskapet mener dette kan være begynnelsen på en ny, varig trend innen kryptosvindel.
Noen tips for å unngå svindelen er å alltid sjekke nettadressene og passe på at URL-en er korrekt. I Phantoms tilfelle er den korrekte URL-en for eksempel «phantom.app», mens de phishing-versjonene benytter lignende adresser som «phanton.app» eller «phantom.pw».
I tillegg bør man alltid sjekke hva man klikker på i Googles søkeresultater, og som hovedregel bør man alltid se etter de første nettsidene som ikke er en annonse når man søker etter kryptotjenester.
Flere detaljer finner du hos Check Point Reasearch.