rssyoutubefg

אפליקציות מזויפות לסחר במטבעות וירטואליים ב-Google Play גונבות לכם סיסמאות

ESET ישראל
24.10.17

חוקרי חברת האבטחה ESET גילו בחנות האפליקציות הרשמית של גוגל אפליקציות מזויפות הגונבות פרטי כניסה לתוכנת סחר במטבעות וירטואליים.

משתמשים של התוכנה Poloniex הפופולרית, המשמשת לסחר במטבעות וירטואליים, נפלו קורבן לשתי אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-Poloniex, הנוכלים שמאחורי התוכנות המזויפות גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-Gmail שלהם.

Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות וירטואליים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה שלא הייתה אפליקציה רשמית.

בעקבות הרעש שעוררו המטבעות הוירטואליים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכולים – בין אם זה ניצול כוח המחשב של המשתמשים כדי לכרות מטבעות וירטואליים דרך דפדפנים או באמצעות הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.

האפליקציות הזדוניות

האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של Google בשם "POLONIEX", תחת מפתח בשם "Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.

האפליקציה השנייה, "POLONIEX EXCHANGE" של המפתח "POLONIEX COMPANY", הופיעה בחנות האפליקציות של Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם ESET.

בנוסף על ההודעה לGoogle-, הודיעו חוקרי ESET גם ל-Poloniex על המתחזים הזדוניים.

crypto 1

(1) האפליקציות המזויפות כפי שנראו בחנות האפליקציות של Google

crypto 2 2

(2) ביקורות על אחת האפליקציות בחנות האפליקציות של Google

כיצד הן פועלות?

כדי להשתלט בהצלחה על חשבון Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-Poloniex הפרוץ, זאת כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.

שתי האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.

גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-Poloniex (תמונה 3). אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.

במידה והמשתמש לא אפשר את האימות הדו-שלבי (2-factor authentication, 2FA) בחשבון ה-Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.

אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת מכיוון ש-Poloniex מציעה למשתמשים אימות דו-שלבי דרך Google Authenticator, שמייצרת סיסמאות כניסה אקראיות שנשלחות למשתמש באמצעות הודעת SMS, שיחה קולית או דרך האפליקציה – כולם מקומות שאינם נגישים לתוקפים.

crypto 3

(3) מסך כניסה מזויף שאוסף נתוני גישה ל-Poloniex

אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם Google, המבקשת ממנו להתחבר לחשבון ה-Google שלו "בשביל בדיקת אימות דו-שלבית" (תמונה 4). לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים (תמונה 5). אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.

כשיש להם גישה גם לחשבון ה-Poloniex של המשתמש וגם לחשבון ה-Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.

crypto 4

(4) הודעה המתחזה ל-Google ומבקשת מהמשתמש להתחבר ל-Gmail

crypto 5

(5) האפליקציה הזדונית מבקשת גישה לתיבות הדוא"ל

בשלב האחרון האפליקציה מפנה את המשתמש לאתר הבית האמיתי של Poloniex, שם הוא מתבקש להתחבר לחשבון (תמונה 6), במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר Poloniex האמיתי.

crypto 6

(6) הגרסה המובייל של אתר Poloniex האמיתי נפתחת ע"י האפליקציה הזדונית

דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות – ע"י מנתחי בטיחות, במקרה הזה – היא באמצעות מיסוך הכתובות אליהם נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות hxxp://połoniex.com ו- hxxp://poloniėx.com/עשויות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.

כיצד להתגונן?

אם אתם משתמשים ב-Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלה, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-Poloniex וגם ל-Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.

אלו הדברים שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:

  • וודאו שהשירות בו אתם משתמשים אכן מציע אפליקציה לטלפון הנייד – אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.
  • שימו לב לדירוגי האפליקציה ולביקורות עליה.
  • היזהרו מאפליקציות צד-שלישי שמציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google – עברייני סייבר מרבים לנצל את האמון שמשתמשים נותנים ב-Google.
  • השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).
  • השתמשו בפתרון אבטחה אמין למובייל.

 

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום