Исследователи из подразделения Cisco Talos подробно описали механизм наиболее масштабной фишинговой операции, нацеленной на владельцев криптовалюты. Распространение вредоносной кампании, которую назвали Coinhoarder, удалось остановить совместно с департаментом киберполиции Национальной полиции Украины.

В расчете на ошибку пользователей мошенники регистрировали домены, незначительно различающиеся по написанию с адресом популярного сервиса биткоин-кошельков Bitcoin.info.

На доменах с SSL-шифрованием размещали фишинговые сайты, подробно имитирующие настоящий сервис, чтобы собирать учетные данные невнимательных юзеров и переводить деньги с кошельков жертв. Фишинговые страницы размещались на серверах украинского провайдера. Обнаружили кампанию по всплеску DNS-запросов к фишинговым сайтам.

Исследовали обратили внимание на необычный способ генерации трафика на поддельные сайты. Мошенники использовали приемы социальной инженерии: тайпсквоттинг и фишинг – в сочетании с легальными инструментами. Вместо спам-рассылки для привлечения посетителей на клонированные страницы фишеры использовали рекламные объявления, которые официально покупали на платформе Google AdWord. Рекламу показывали на страницах поисковой выдачи по запросу «bitcoin», «blockchain» и другим запросам, связанным с криптовалютой. В настройках показов злоумышленники задали фильтры, по которым объявления видели в основном владельцы биткоин-кошельков из африканских и других развивающихся стран.

Прием оказался простым и эффективным. Только одно объявление, по подсчетам ИБ-экспертов, привлекло 200 тыс. пользователей в течение часа, а общее количество посетителей фишинговых страниц исчисляется десятками миллионов. Установить точное число жертв Cisco Talos не удалось. Однако исследователи подсчитали возможную сумму ущерба: за три года мошенникам удалось похитить предположительно 50 млн долларов в криптовалюте. По данным киберполиции Украины, только в сентябре–декабре 2017 года мошенники получили 700 биткоинов. В зависимости от того, какой обменный курс применять для расчета: текущий или актуальный в пик кампании, это от 5 до 10 млн долларов.

Украинские киберполицейские также предположили, что группировка, организовавшая Coinhoarder, активно действует уже 3–4 года, а фишинговую схему с использованием Google AdWord запустила минимум год назад, в феврале 2017 года.

В 2018 году активность группировки пошла на спад. Это связано в том числе с тем, что платформа Google дополнила правила модерации рекламных сообщений. Кроме того, киберполиция сумела отключить серверы, где располагались фишинговые сайты. Однако установить личности и арестовать организаторов схемы пока не удалось.