یک حملهی فیشینگ بزرگ، کاربران Coinbase را هدف قرار داده و با ادعای مهاجرت اجباری کیف پول، قربانیان را فریب میدهد تا یک کیف پول جدید با استفاده از عبارت بازیابی(Recovery Phrase) که از پیش توسط مهاجمان تولید و کنترل شده است، راهاندازی کنند.
در ایمیلهای ارسالی، موضوع پیام “Migrate to Coinbase Wallet” است و به کاربران اعلام میشود که باید به کیف پولهای خودمدیریتی (Self-Custodial Wallet) منتقل شوند. این ایمیلها حتی شامل دستورالعملهایی برای دانلود کیف پول رسمی Coinbase هستند. یک کیف پول خودمدیریتی به شما کنترل کامل بر کلیدهای خصوصی و سرمایههایتان میدهد و وابستگی به اشخاص ثالث را از بین میبرد. متن ایمیل به شرح زیر است:
“از تاریخ ۱۴ مارس، Coinbase به کیف پولهای خودمدیریتی منتقل خواهد شد. در پی یک شکایت دستهجمعی دربارهی اوراق بهادار ثبتنشده و فعالیتهای بدون مجوز، دادگاه مقرر کرده که کاربران خودشان کیف پولهایشان را مدیریت کنند. از این پس، Coinbase به عنوان یک کارگزاری ثبتشده فعالیت میکند و کاربران فقط میتوانند خرید انجام دهند، اما همهی داراییها باید به Coinbase Wallet منتقل شوند”
در ادامهی ایمیل، به کاربران یک عبارت بازیابی اختصاصی داده شده و از آنها خواسته میشود که این عبارت را یادداشت کرده و برای ورود به کیف پول Coinbase وارد کنند.
نشانههای تقلبی بودن ایمیل فیشینگ Coinbase
- این ایمیل از طرف Coinbase ارسال نشده، بلکه آدرس فرستنده noreply@akamai.com است.
- آدرس IP سرور ایمیل 167.89.33.244 است که متعلق به سرویس SendGrid است و با استفاده از DNS با دامنهo1.soha.akamai.com تطابق مییابد.
- ایمیل به دلیل اینکه با شرایط گفته شده ارسال شده است، تستهای امنیتی SPF، DMARC و DKIM را پاس کرده و از فیلترهای اسپم عبور میکند.
واکنش شرکت Akamai
شرکت Akamai در پاسخ به این حملات اعلام کرد که از موضوع مطلع است و در حال بررسی این حملهی فیشینگ است. این شرکت به کاربران هشدار داده در صورت دریافت ایمیلهای مشکوک از کلیک روی لینک ها خودداری کرده و اطلاعات شخصی خود را در اختیار هیچ ایمیلی قرار ندهند.
ترفند هوشمندانهی فیشینگ جدید
آنچه این حمله را متفاوت و خطرناک میکند، این است که برخلاف فیشینگهای رایج که لینکهای مخرب دارند، این ایمیل هیچ لینک فیشینگی در خود ندارد و همهی لینکها به صفحهی رسمی کیف پول Coinbase هدایت میشوند؛ اما در یک ترفند جدید، مهاجمان یک عبارت بازیابی از پیش تولید شده را در اختیار کاربران قرار میدهند و از آنها میخواهند که این عبارت را برای راهاندازی کیف پول جدید خود استفاده کنند.
عبارت بازیابی که به آن Seeds هم گفته میشود، نسخهای قابل خواندن برای انسان از کلید خصوصی یک کیف پول ارز دیجیتال است. هر فردی که این عبارت را داشته باشد، میتواند کیف پول را روی دستگاه خود بازیابی کرده و تمام داراییهای داخل آن را سرقت کند.
در بیشتر حملات فیشینگ، مهاجمان تلاش میکنند عبارات بازیابی کیف پول قربانی را سرقت کنند؛ اما در این روش، آنها عبارتی را در اختیار قربانی قرار میدهند که خودشان کنترل میکنند.
به محض اینکه کاربر کیف پول جدید را با این عبارت بازیابی راهاندازی کند و داراییهای خود را به آن انتقال دهد، مهاجمان میتوانند موجودی را به حساب دیگری منتقل کنند.
واکنش Coinbase
Coinbase اعلام کرده است که هرگز برای کاربران عبارات بازیابی ارسال نمیکند و اگر کاربری چنین ایمیلی دریافت کند، باید آن را نادیده بگیرد.
چگونه از این حمله فیشینگ در امان بمانید؟
- هرگز از عبارات بازیابی که از طریق ایمیل دریافت کردهاید، برای کیف پول خود استفاده نکنید.
- هیچگاه عبارت بازیابی خود را با دیگران به اشتراک نگذارید.
- اگر در دام این حمله افتادهاید، فوراً داراییهای خود را از کیف پول جدید به یک کیف پول امن منتقل کنید.
- هرگونه ایمیل مشکوک را به Coinbase و ارائهدهندهی سرویس ایمیل خود گزارش دهید.
