Utilizatorii popularei aplicații crypto Maiar sunt țintiți de SMiShing

de | iulie 27, 2021 | Știri de securitate cibernetică

Maiar este un portofel digital și o aplicație de plăți globale care le permite utilizatorilor să schimbe și să stocheze bani în siguranță pe telefoanele lor mobile. Oamenii pot folosi Maiar pentru a trimite și a primi bani aproape instantaneu, către și de la orice persoană din întreaga lume, folosind doar un număr de telefon sau un herotag.

Actualizare

Echipa Maiar a lansat un avertisment prin sistemul de notificări, reamintindu-le utilizatorilor că aplicația nu va solicita niciodată validarea contului prin mesaje text.

Atacurile SMiShing

În calitate de utilizator Maiar, am primit personal două mesaje text diferite, care, la o privire mai atentă, erau în mod clar înșelătoare. Au urmat toate rețetele clasice de phishing:

  1. Crearea unui fals sentiment de urgență
  2. Folosirea unui link fals
  3. Conținutul neașteptat al mesajului

Să ne uităm mai atent la SMS-urile primite de mine.

SMiShing #1

Escrocii încearcă SMiShing cu un site fals Maiar.
Tentativă de SMiShing prin Maiar #1

Acest atac a fost cel mai ușor de depistat. Fiind prima lor încercare, cred că hackerii nu au fost prea hotărâți. Au încercat metoda clasică de a păcăli utilizatorii cu un site web fals: maiarapp.net. Chiar dacă mi s-a părut de la bun început îndoielnic, am vrut să-mi confirm suspiciunile căutând site-ul oficial Maiar, pe noul Brave search.

S-a dovedit că am avut motive întemeiate să am îndoieli, deoarece site-ul oficial Maiar este https://maiar.com, nu https://maiarapp.net.

Ar trebui să cauți întotdeauna site-ul oficial înainte de a accesa un link suspect.
Ar trebui să cauți întotdeauna site-ul oficial înainte de a accesa un link suspect.

SMiShing #2 – Atac Punycode

Un atac Punycode încearcă să înșele utilizatorii Maiar.
Tentativă de SMiShing prin Maiar #2

Acest SMS pare destul de autentic, nu-i așa? Aparent, ceva rău s-a întâmplat cu contul meu Maiar și trebuie să îl verific cât mai repede posibil. Linkul pare corect, indică maiar.com, site-ul oficial. Hmm, dacă ne uităm cu atenție, al doilea „a” din numele de domeniu nu este chiar un „a”. Este o literă „a”, dar cu un punct sub „ạ” – un caracter vietnamez.

Acesta este ceea ce cercetătorii în domeniul securității numesc un atac Punycode. Aceste tipuri de atacuri utilizează caractere din alfabete extinse pentru a imita adrese web reale. Totul a început cu utilizarea numerelor în loc de litere (vă amintiți de micr0soft.com ?). Acum, hackerii folosesc setul imens de caractere Unicode pentru a păcăli utilizatorii. Și funcționează!

Caracterele Unicode pot arăta la fel cu ochiul liber, dar domeniile scrise cu aceste litere trimit la adrese web diferite. Unele litere din alfabetul roman, care sunt folosite de majoritatea browserelor și limbilor moderne, au forme similare cu literele din alfabetul grecesc, chirilic și alte alfabete, astfel încât este ușor pentru un atacator să creeze un nume de domeniu care să înlocuiască unele caractere ASCII cu caractere Unicode.

De exemplu, dacă schimbați un „T” normal cu litera grecească Tau: „τ”, utilizatorul ar vedea simbolul „T” aproape identic, dar codul de punctuație din spatele acestuia, citit de computer, este de fapt xn--5xa. Ceea ce ar indica, într-adevăr, o altă adresă web.

Există și un convertor Punycode care face acest lucru foarte simplu. Încearcă-l și tu aici https://www.punycoder.com. Știu, există un site pentru orice.

Am sperat să analizez și site-urile web. Din nefericire pentru mine (dar din fericire pentru toți ceilalți), în momentul în care am scris această postare, site-urile au fost retrase.

Concluzii

Acesta este un exemplu excelent al modului în care actorii răi atacă oamenii la întâmplare și cum oamenii buni pot mușca momeala și se pot trezi cu portofelul gol.

Este important să ne amintim câteva lucruri.

  1. Ori de câte ori ne confruntăm cu mesaje neașteptate, trebuie să învățăm să lăsăm emoțiile deoparte. Hackerii se bazează pe panică și frică pentru a ne determina să luăm decizii greșite.
  2. După ce ne-am liniștit, putem verifica conținutul mesajului. Sunt linkurile false? Dacă nu suntem siguri, putem face o căutăm site-ul oficial și să le comparăm.
  3. Dacă ajungem pe site-ul web legat de link, să fim foarte suspicioși cu privire la orice schimbare minoră, greșeală sau eroare. Aceștia sunt indicatori puternici că site-ul este fals, o copie a celui original.
  4. Ca regulă generală, ar trebui să nu accesăm niciodată linkurile pe care le primim în mesaje neașteptate. Este mai bine să ne facem timp și să scriem site-ul web dorit în bara de adrese.

Te las cu un gând: Ce s-ar fi întâmplat dacă ai fi dat click pe link-ul din mesaj și te-ai fi logat pe site-ul fals al Maiar?

Mulțumesc pentru lectură. Rămâneți în siguranță!

by Dan Florian

Product owner and co-founder of ATTACK Simulator. Dan likes to code, is passionate about design, and loves running and swimming.

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.