„BleepingComputer“ patvirtino, kad maršrutizatorių gamintojo pagalbos tarnybos portalas šiuo metu siunčia „MetaMask“ sukčiavimo el. laiškus, atsakydamas į naujai pateiktus palaikymo bilietus, o tai atrodo kompromisas.
Kanados maršrutizatorių gamintojas Mercku teikia įrangą Kanados ir Europos interneto paslaugų teikėjams (IPT) ir tinklo įmonėms, įskaitant Start.ca, FibreStream, Innsys, RealNett, Orion Telekom ir Kelcom.
Palaikymo bilietai patvirtinti naudojant „MetaMask“ sukčiavimą
„BleepingComputer“ patvirtino, kad į kelvedžio gamintojui pateiktus palaikymo prašymus „Merku“ automatiškai atsako sukčiavimo el. laiškais.
Kai tik pateikiama internetinė forma, vartotojui išsiunčiamas el. laiškas pavadinimu „Metamask: būtinas privalomas metamask paskyros atnaujinimas“, kaip parodyta žemiau:
(„BleepingComputer“)
Konkrečiai, el. laiške naudotojams nurodoma „atnaujinti savo Metamask paskyrą“ per 24 valandas arba patirti „galimą prieigos prie paskyros praradimą“.
„Tikimės, kad šis pranešimas jus gerai suranda. Vykdydami nuolatinį įsipareigojimą sustiprinti savo vartotojų saugumą, neseniai atlikome išsamų duomenų bazės atnaujinimą ir patobulinome užkardos apsaugos sistemą. Atsižvelgiant į šiuos patobulinimus, būtina nedelsiant atnaujinti savo Metamask paskyros profilį.
Būtinas veiksmas: jūsų paskyra bus laikinai nepasiekiama, kol užbaigsite atnaujinimą. Siekdami išvengti nepatogumų ir galimo prieigos prie paskyros praradimo, maloniai prašome užbaigti šį privalomą atnaujinimą per kitas 24 valandas.
hxxps://metamask.io:login@zpr[.]io/x4hFSxCxEqcd
Atnaujinimo priežastys: ši iniciatyvi priemonė yra atsakas į naujausius saugumo pavojus ir skirta „Metamask“ paskyrų saugumui sustiprinti. Įgyvendinant šią iniciatyvą, neaktyvios paskyros bus išjungtos iš mūsų duomenų bazės, kad būtų išlaikytas mūsų sistemos vientisumas.
Turėdama biurus Kanadoje, Kinijoje, Vokietijoje ir Pakistane, Mercku gamina tinklinio WiFi maršrutizatorius ir įrangą. IPT, įskaitant Start.ca, FibreStream, Innsys, RealNett, Orion Telekom ir Kelcom, savo klientams teikia Mercku įrangą.
Atlikdami bandymus susisiekėme su „Merku“ per „Zendesk“ portalą ir vietoj automatinio patvirtinimo gavome aukščiau pateiktą pranešimą.
Patvirtinimo el. laiškas yra sukčiavimo pranešimas. Vartotojai neturėtų į jį atsakyti ir neatidaryti jokių jame esančių nuorodų ar priedų.
„MetaMask“ yra kriptovaliutų piniginė, kuri naudoja „Ethereum“ blokų grandinę ir yra prieinama kaip naršyklės plėtinys ir mobilioji programėlė.
Dėl savo populiarumo „MetaMask“ dažnai tapo užpuolikų, įskaitant sukčiavimo veikėjus ir kriptovaliutų sukčius, taikiniu.
Piktnaudžiavimas vartotojo informacija URL dalis, kad atrodytų tikras
El. laiške esanti sukčiavimo nuoroda (sudėtinga dėl jūsų saugumo) turi gana įdomią struktūrą:
hxxps://metamask.io:login@zpr[.]io/x4hFSxCxEqcd
Priešingai nei atrodo URL, jis nukreipia ne į „metamask.io“, o į zpr[.]io vietoj.
URL arba IP adresas gali būti pateikiami skirtingais formatais. Užpuolikai piktnaudžiavo tokiais variantais, kuriuos leidžia IETF specifikacijos, kad sukčiavimo išpuoliais būtų nukreipti į nieko neįtariančius vartotojus.
URL schema leidžia naudoti dalį, pavadintą „Įgaliojimai“. Ši dalis leidžia nurodyti „naudotojo informaciją“ – tai kažkas panašaus į a Vartotojo vardasyra tarp URL protokolas ir šeimininkas dalys.
Konkrečiai, naudojant RFC 3986, ši „userinfo“ funkcija leidžia užpuolikams lengvai ja piktnaudžiauti „semantinėms atakoms“.
„Kadangi vartotojo informacijos subkomponentas retai naudojamas ir autoriteto komponente rodomas prieš pagrindinį kompiuterį, jis gali būti naudojamas sukurti URI, skirtą suklaidinti vartotoją, identifikuojant vieną (patikimą) įvardijimo instituciją, o iš tikrųjų identifikuojant kitą, paslėptą už jos instituciją. Pavyzdžiui, triukšmas
ftp://cnn.example.com&story=breaking_news@10.0.0.1/top_story.htm
gali priversti vartotoją manyti, kad priegloba yra „cnn.example.com“, o iš tikrųjų ji yra „10.0.0.1“.
Atminkite, kad klaidinantis naudotojo informacijos subkomponentas gali būti daug ilgesnis nei anksčiau pateiktame pavyzdyje.
Klaidinantis URI, kaip nurodyta aukščiau, yra ataka prieš vartotojo išankstines nuostatas apie URI reikšmę, o ne ataka prieš pačią programinę įrangą.
Tas pats pasakytina apie https://google.com@bleepingcomputer.com/tag/security/
Nors gali pasirodyti kad jungiatės prie „google.com“, dalis prieš „@“ reiškia „naudotojo informaciją“, o ne autentišką „Google“ svetainę, todėl vis tiek pateksite į „BleepingComputer“.
Praktiškai URI schemos vartotojo info dalis retai naudojama techniniu požiūriu. Net jei jūsų žiniatinklio naršyklė vis tiek „siųs“ vartotojo informaciją serveriui, serveris jos nepaisys, o jūsų užklausa bus vykdoma taip pat, kaip ir nebūtų naudotojo informacijos dalies (ty jei URL būtų https:/ /www.bleepingcomputer.com/tag/security/).
Nepaisant to, grėsmės veikėjai gali piktnaudžiauti šia funkcija, kad sudarytų klaidingą įspūdį, kad naudotojas pasiekia teisėtą įmonės URL, nors iš tikrųjų taip nėra.
Šiuo konkrečiu atveju spustelėkite hxxps://metamask.io:login@zpr[.]io/x4hFSxCxEqcd pirmiausia nukreipia jus į zpr[.]io/x4hFSxCxEqcd.
zpr[.]io paslauga, kuri šiuo atveju yra URL sutrumpinimas, kuriuo piktnaudžiauja užpuolikas, toliau nukreipia lankytoją į kitą svetainę, hxxps://matjercasa.youcan[.]parduotuvė.
Laimei, mūsų bandymų metu galutinis paskirties tinklalapis rodo, kad .store domeno prieglobos paskyra buvo „sustabdyta“, todėl tolesnės atakos kol kas sutrukdė.
„BleepingComputer“ savaitgalį susisiekė su „Merku“ palaikymo ir spaudos komandomis, kad praneštų apie šį kompromisą ir užduotų papildomų klausimų apie tai, kaip jis įvyko.
Tuo tarpu „Merku“ klientai ir potencialūs klientai turėtų nesinaudoti gamintojo palaikymo portalu ir nebendrauti su jokiais pranešimais.
