Ny phishingkampanj riktar sig mot kryptopersonligheter
En ny sofistikerad phishingkampanj riktar sig mot X-konton för kryptopersonligheter, med taktiker som kringgår tvåfaktorsautentisering och verkar mer trovärdiga än traditionella bedrägerier. Enligt ett inlägg på X i onsdags av kryptoutvecklaren Zak Cole, utnyttjar denna phishingkampanj X:s egen infrastruktur för att ta över konton till kryptopersonligheter.
”Ingen upptäckte. Aktiv just nu. Fullständig kontövertagning,”
sa han.
Cole framhöll att attacken inte involverar en falsk inloggningssida eller stöld av lösenord. Istället utnyttjar den X:s applikationssupport för att få tillgång till kontot samtidigt som den kringgår tvåfaktorsautentisering. MetaMask-säkerhetsforskaren Ohm Shah bekräftade att han har sett attacken ”i det vilda”, vilket tyder på en bredare kampanj. En OnlyFans-modell blev också måltavla för en mindre sofistikerad version av attacken.
Trovärdig och diskret attack
Den anmärkningsvärda funktionen hos phishingkampanjen är hur trovärdig och diskret den är. Attacken inleds med ett direktmeddelande på X som innehåller en länk som verkar omdirigera till den officiella Google Calendar-domänen, tack vare hur sociala medieplattformen genererar sina förhandsvisningar. I Coles fall låtsades meddelandet komma från en representant för riskkapitalföretaget Andreessen Horowitz.
Domänen som meddelandet länkar till är x(.)ca-lendar(.)com och registrerades i lördags. Ändå visar X den legitima calendar.google.com i förhandsvisningen, tack vare webbplatsens metadata som utnyttjar hur X genererar förhandsvisningar. ”Din hjärna ser Google Calendar. URL:en är annorlunda.”
När man klickar på sidan omdirigerar JavaScript till en X-autentiseringsepunkt som begär auktorisation för en app att få tillgång till ditt sociala mediekonto. Appen verkar vara ”Calendar”, men en teknisk granskning av texten avslöjar att applikationens namn innehåller två kyrilliska tecken som ser ut som ett ”a” och ett ”e”, vilket gör det till en distinkt app jämfört med den faktiska ”Calendar”-appen i X:s system.
Tecken på phishingattack
Hittills kan det mest uppenbara tecknet på att länken inte var legitim ha varit URL:en som kort visades innan användaren omdirigerades. Detta visades troligen bara under en bråkdel av en sekund och är lätt att missa. Ändå, på X-autentiseringssidan, hittar vi den första ledtråden att detta är en phishingattack. Appen begär en lång lista med omfattande kontroller för kontot, inklusive att följa och avfölja konton, uppdatera profiler och kontoinställningar, skapa och ta bort inlägg, engagera sig med inlägg från andra och mer. Dessa behörigheter verkar onödiga för en kalenderapp och kan vara ledtråden som räddar en försiktig användare från attacken.
Om behörighet beviljas får angriparna tillgång till kontot, och användarna får en annan ledtråd med en omdirigering till calendly.com trots Google Calendar-förhandsvisningen. ”Calendly? De spoofade Google Calendar, men omdirigerar till Calendly? Stort operativt säkerhetsfel. Denna inkonsekvens kan avslöja offren,” framhöll Cole.
Rekommendationer för användare
Enligt Coles GitHub-rapport om attacken rekommenderas det att du besöker sidan för X-anslutna appar för att kontrollera om din profil har blivit komprometterad och för att avlägsna angriparna från kontot. Han föreslår också att återkalla alla appar som heter ”Calendar.”
