В конце сентября 2017 года, совместно с работниками подразделения «Talos» компании «Cisco», Киберполиция начала совместное расследование масштабной фишинговой кампании, направленной против пользователей криптовалюты (операция «Coinhoarder»). Об этом рассказывает пресс-служба ведомства.
При анализе было найдено большое количество доменов, названия которых были очень похожи на оригинальный ресурс онлайн-сервиса виртуальных Bitcoin-кошельков: blockchain.info. «Заманивание» пользователей происходило с помощью рекламных кампаний Google Adwords. При введении ключевой фразы «blockchain» в поисковой системе Google появлялась ссылка, которая выглядела следующим образом:

Однако после перехода по этой ссылке пользователь попадал на фейковый домен (типа bockchain.info). Домен выглядел аналогично оригинальному, однако имел другое доменное имя и специально разработанный скрипт от злоумышленников.
Биткоин удивил аналитиков: криптовалюта вплотную подобралась к психологическому рубежу
Если подробнее, то схема работала следующим образом:
- Пользователь открывает фейковый сайт.
- Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info. С помощью модуля языка программирования Lua в web-сервере Nginx, сразу происходит изменение данных заголовков и в некоторых случаях запрет.
- Как только пользователь входит в кошелек, или создает новый, загружая с сайта JavaScript, Nginx на фейковом сервере подменяет его своим.
- На фейковом сервере работает php-backend, который осуществляет взаимодействие с данными кошельков.

«По нашим приблизительным подсчетам только в период с сентября по декабрь 2017 года, используя вышеупомянутый метод, злоумышленники завладели криптовалютой на сумму $5 млн. Согласно информации от специалистов по безопасности ресурса blockchain.info, эта фишинговая кампания является одной из самых масштабных за всю историю существования компании. Мы считаем, что эта группа начала свою деятельность еще в конце 2014 года, и за 3 года их общий доход от преступной деятельности может превышать сотни миллионов долларов США», - сообщили в Киберполиции.







