一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移,欺骗收件人使用攻击者控制的预生成恢复短语设置新钱包。
这些邮件的主题是“迁移至Coinbase钱包”,声称所有用户必须迁移到自我托管钱包,并提供了下载合法Coinbase钱包的说明。
“自3月14日起,Coinbase将过渡到自我托管钱包。在一场集体诉讼指控未注册证券和无证经营后,法院要求用户自行管理钱包,”钓鱼邮件中写道。
“Coinbase将作为注册经纪人,允许购买,但所有资产必须转移到Coinbase钱包。”
“下面显示的唯一恢复短语是您的Coinbase身份。它授予对您资金的访问权—请将其记录下来并安全存储。通过依次输入每个单词后跟一个空格,将其导入Coinbase钱包。”
这些邮件声称来自Coinbase,但回信地址是noreply@akamai.com。它们还来自IP地址167.89.33.244,这是一个SendGrid IP地址,通过DNS解析到o1.soha.akamai.com。
由于这些邮件似乎是通过SendGrid直接发送的,并且似乎是通过Akamai的账户,因此它们通过了SPF、DMARC和DKIM电子邮件安全检查,从而绕过了许多账户的垃圾邮件过滤器。
BleepingComputer联系了Akamai,询问是否有一个SendGrid账户被攻破,并收到了以下声明。
“Akamai已注意到有关针对Coinbase用户的网络钓鱼骗局的报道,该骗局涉及使用Akamai电子邮件域名。我们非常重视信息安全,并正在积极调查此事,”Akamai告诉BleepingComputer。
“网络钓鱼骗局仍然是普遍的网络威胁,我们敦促所有用户在收到未请求的电子邮件时保持警惕,尤其是那些要求提供个人信息或账户信息的邮件。如果您怀疑一封邮件可能是网络钓鱼尝试,请将其视为网络钓鱼,并避免点击任何链接或提供任何敏感信息。”
“我们正在努力解决这一情况,并将继续监控和减轻任何相关风险。在此期间,我们建议提高警惕,以帮助保护您的个人信息。”
这场网络钓鱼活动的特别之处在于,邮件内没有任何网络钓鱼链接,所有链接都指向Coinbase合法的钱包页面。相反,网络钓鱼邮件包含一个恢复短语,声称应使用该短语设置新的Coinbase钱包。
恢复短语,也称为“种子”,是一系列单词,作为加密货币钱包私钥的人类可读版本。任何知道此恢复短语的人都可以将其导入自己的设备,从而窃取其中存储的任何加密货币和NFT。
虽然大多数加密货币网络钓鱼骗局试图窃取用户的恢复短语,然后攻击者用其窃取资金,但此次网络钓鱼活动则相反。
这封网络钓鱼邮件非常巧妙,因为它不是窃取用户的短语,而是提供一个攻击者已经知道并控制的短语。一旦用户使用该短语设置新钱包并转移资金,所有资产将可供威胁行为者使用,他们可以将其转移到自己控制的另一个钱包。
Coinbase已意识到这一骗局,并在X上发帖称他们永远不会向客户发送恢复短语。
“提醒:警惕恢复短语骗局,”Coinbase在X上发帖。
“我们已注意到新的网络钓鱼邮件,伪装成Coinbase和Coinbase钱包。我们永远不会向您发送恢复短语,您也不应输入任何其他人提供的恢复短语。”
对于那些上当受骗的人,如果新创建的钱包中仍有资金,应迅速将其转回自己的钱包,以免被威胁行为者窃取。
虽然规则一直是不要将恢复短语分享给其他人或网站,但现在应扩展为不要使用通过电子邮件和网站共享给您的恢复短语,因为它们很可能被用于窃取您的加密货币。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容