Ця стаття є похідною від статті, написаної @drawesomedoge і була складена, скомпільована та написана wublockchain. (Попередження Google Cloud: шпигунські IT-атаки Північної Кореї розширюються, глобальні компанії повинні бути пильними) (Довідкове доповнення: Microsoft попереджає про нові шкідливі трояни: атаки блокування OKX, Metamask та інших 20 основних Web3-гаманців) Останнім часом у криптовалютному співтоваристві часто трапляються катастрофи безпеки. Зловмисники планують зустрічі через Calendly, надсилають, здавалося б, звичайні «посилання на Zoom», обманом змушують жертв встановити фальшиві трояни та навіть отримують віддалене керування комп'ютером під час зустрічі. За одну ніч було повністю вилучено гаманці та акаунти в Telegram. У цій статті ми всебічно проаналізуємо ланцюжок дій та точки захисту таких атак, а також додамо повні довідкові матеріали для пересилання громади, внутрішнього навчання або самоінспекції. Подвійна мета зловмисників Крадіжка цифрових активів: використання шкідливих програм, таких як Lumma Stealer, RedLine або IcedID, пряма крадіжка приватних ключів і мнемотехніки в браузерах або настільних гаманцях, а також швидкий переказ криптовалют, таких як TON і BTC. Крадіжка облікових даних особи: крадіжка файлів cookie Telegram, сеансу Google, прикидаючись жертвами, щоб продовжувати контактувати з більшою кількістю об'єктів, утворюючи сніжний ком. Чотири кроки до ланцюжка атак (1) Зміцнюйте довіру Видавайте себе за інвесторів, ЗМІ або ведучих подкастів і надсилайте офіційні запрошення на зустрічі через Calendly. Наприклад, у випадку з "НЕВЛОВИМОЮ КОМЕТОЮ" зловмисник замаскував сторінку Bloomberg Crypto під фішинг. (2) Скидання троянських посилань Fake Zoom (а не закінчень .zoom.us), щоб спрямувати користувачів на завантаження шкідливої версії ZoomInstaller.exe. Кілька інцидентів у 2023–2025 роках були підкинуті таким чином з троянами IcedID або Lumma. (3) Захоплення електроенергії на зустрічі Хакер змінив псевдонім на «Zoom» на зустрічі в Zoom, попросив жертву «протестувати спільний екран» і водночас передав запит на віддалене керування. Як тільки ви натиснете «Дозволити», пристрій повністю переходить у власність. (4) Розповсюдження та виведення коштів Шкідлива програма негайно виводить монети після завантаження приватного ключа або ховається на кілька днів, а потім прикидається особистістю Telegram, щоб продовжувати фішинг інших. RedLine розробляє функції таргетингу спеціально для каталогу tdata Telegram. Три кроки для надання першої допомоги негайно ізолюйте пристрій: від'єднайте мережевий кабель, вимкніть Wi-Fi, завантажте пристрій за допомогою чистого USB та проскануйте його повністю; У разі виявлення RedLine/Lumma рекомендується повністю відформатувати систему зрошення. Скасувати всі сесії: перевести криптоактиви на новий апаратний гаманець; Telegram виводить із системи всі пристрої та включає двоетапну верифікацію; Змініть всі паролі, такі як адреса електронної пошти, обмін тощо. Синхронний моніторинг динаміки в чейні та обміні: При виявленні підозрілих переказів негайно зв'яжіться з біржею, щоб запросити заморожування відповідних адрес. Шість залізних законів довгострокової оборони Незалежний конференц-пристрій: для дивних зустрічей використовується лише запасний ноутбук або мобільний телефон без приватного ключа. Завантажуйте програмне забезпечення тільки з офіційного сайту: Такі інструменти, як Zoom і AnyDesk необхідно завантажувати з офіційного сайту macOS Рекомендується відключити функцію «автоматичне відкриття після завантаження». Строго перевіряйте URL: посилання на зустріч має закінчуватися на .zoom.us; URL-адреса Zoom Vanity також має відповідати специфікації. Принцип трьох «ні»: не встановлюйте плагіни, не давайте пульт, не відображайте мнемоніки або приватні ключі. Поділ гарячого і холодного гаманця: основний актив використовує холодний гаманець і встановлює PIN-код і парольну фразу; Гарячі гаманці зберігають лише невеликі суми коштів. Увімкніть 2FA для всіх облікових записів: Telegram, email, GitHub, біржі тощо. Усі включають двофакторну аутентифікацію. Висновок: реальний ризик фальшивих зустрічей Сучасні хакери не покладаються на вразливості 0 днів, але добре вміють діяти. Вони розробляють зустрічі в Zoom, які «виглядають нормально» і чекають, поки ви зробите помилку. Поки у вас сформуються корисні звички: ізоляція пристроїв, завантаження тільки з офіційного сайту, багатофакторна аутентифікація, цей вид атаки дуже складно увінчатися успіхом. Нехай кожен користувач у мережі тримається подалі від пастки соціальної інженерії та зберігає власне сховище та особистість. Related stories Повільний туман: крадіжка Cetus на $230 мільйонів Уряд В'єтнаму оголосив про заборону Telegram: боріться зі злочинністю! Зашифрований зв'язок не відповідає національній безпеці, PoS безпечніший? Розробники: Вартість атаки на Ethereum набагато перевищує $10 мільярдів «Криптошахрайство «атака на фальшиві посилання на зустрічі» повний аналіз: шість залізних законів довгострокового захисту» Ця стаття була вперше опублікована в журналі BlockTempo «Динамічний тренд - найвпливовіше новинне медіа блокчейну».
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
шифрування шахрайство «фальшиве посилання на конференцію» повний аналіз: шість залізних правил для тривалої оборони
Ця стаття є похідною від статті, написаної @drawesomedoge і була складена, скомпільована та написана wublockchain. (Попередження Google Cloud: шпигунські IT-атаки Північної Кореї розширюються, глобальні компанії повинні бути пильними) (Довідкове доповнення: Microsoft попереджає про нові шкідливі трояни: атаки блокування OKX, Metamask та інших 20 основних Web3-гаманців) Останнім часом у криптовалютному співтоваристві часто трапляються катастрофи безпеки. Зловмисники планують зустрічі через Calendly, надсилають, здавалося б, звичайні «посилання на Zoom», обманом змушують жертв встановити фальшиві трояни та навіть отримують віддалене керування комп'ютером під час зустрічі. За одну ніч було повністю вилучено гаманці та акаунти в Telegram. У цій статті ми всебічно проаналізуємо ланцюжок дій та точки захисту таких атак, а також додамо повні довідкові матеріали для пересилання громади, внутрішнього навчання або самоінспекції. Подвійна мета зловмисників Крадіжка цифрових активів: використання шкідливих програм, таких як Lumma Stealer, RedLine або IcedID, пряма крадіжка приватних ключів і мнемотехніки в браузерах або настільних гаманцях, а також швидкий переказ криптовалют, таких як TON і BTC. Крадіжка облікових даних особи: крадіжка файлів cookie Telegram, сеансу Google, прикидаючись жертвами, щоб продовжувати контактувати з більшою кількістю об'єктів, утворюючи сніжний ком. Чотири кроки до ланцюжка атак (1) Зміцнюйте довіру Видавайте себе за інвесторів, ЗМІ або ведучих подкастів і надсилайте офіційні запрошення на зустрічі через Calendly. Наприклад, у випадку з "НЕВЛОВИМОЮ КОМЕТОЮ" зловмисник замаскував сторінку Bloomberg Crypto під фішинг. (2) Скидання троянських посилань Fake Zoom (а не закінчень .zoom.us), щоб спрямувати користувачів на завантаження шкідливої версії ZoomInstaller.exe. Кілька інцидентів у 2023–2025 роках були підкинуті таким чином з троянами IcedID або Lumma. (3) Захоплення електроенергії на зустрічі Хакер змінив псевдонім на «Zoom» на зустрічі в Zoom, попросив жертву «протестувати спільний екран» і водночас передав запит на віддалене керування. Як тільки ви натиснете «Дозволити», пристрій повністю переходить у власність. (4) Розповсюдження та виведення коштів Шкідлива програма негайно виводить монети після завантаження приватного ключа або ховається на кілька днів, а потім прикидається особистістю Telegram, щоб продовжувати фішинг інших. RedLine розробляє функції таргетингу спеціально для каталогу tdata Telegram. Три кроки для надання першої допомоги негайно ізолюйте пристрій: від'єднайте мережевий кабель, вимкніть Wi-Fi, завантажте пристрій за допомогою чистого USB та проскануйте його повністю; У разі виявлення RedLine/Lumma рекомендується повністю відформатувати систему зрошення. Скасувати всі сесії: перевести криптоактиви на новий апаратний гаманець; Telegram виводить із системи всі пристрої та включає двоетапну верифікацію; Змініть всі паролі, такі як адреса електронної пошти, обмін тощо. Синхронний моніторинг динаміки в чейні та обміні: При виявленні підозрілих переказів негайно зв'яжіться з біржею, щоб запросити заморожування відповідних адрес. Шість залізних законів довгострокової оборони Незалежний конференц-пристрій: для дивних зустрічей використовується лише запасний ноутбук або мобільний телефон без приватного ключа. Завантажуйте програмне забезпечення тільки з офіційного сайту: Такі інструменти, як Zoom і AnyDesk необхідно завантажувати з офіційного сайту macOS Рекомендується відключити функцію «автоматичне відкриття після завантаження». Строго перевіряйте URL: посилання на зустріч має закінчуватися на .zoom.us; URL-адреса Zoom Vanity також має відповідати специфікації. Принцип трьох «ні»: не встановлюйте плагіни, не давайте пульт, не відображайте мнемоніки або приватні ключі. Поділ гарячого і холодного гаманця: основний актив використовує холодний гаманець і встановлює PIN-код і парольну фразу; Гарячі гаманці зберігають лише невеликі суми коштів. Увімкніть 2FA для всіх облікових записів: Telegram, email, GitHub, біржі тощо. Усі включають двофакторну аутентифікацію. Висновок: реальний ризик фальшивих зустрічей Сучасні хакери не покладаються на вразливості 0 днів, але добре вміють діяти. Вони розробляють зустрічі в Zoom, які «виглядають нормально» і чекають, поки ви зробите помилку. Поки у вас сформуються корисні звички: ізоляція пристроїв, завантаження тільки з офіційного сайту, багатофакторна аутентифікація, цей вид атаки дуже складно увінчатися успіхом. Нехай кожен користувач у мережі тримається подалі від пастки соціальної інженерії та зберігає власне сховище та особистість. Related stories Повільний туман: крадіжка Cetus на $230 мільйонів Уряд В'єтнаму оголосив про заборону Telegram: боріться зі злочинністю! Зашифрований зв'язок не відповідає національній безпеці, PoS безпечніший? Розробники: Вартість атаки на Ethereum набагато перевищує $10 мільярдів «Криптошахрайство «атака на фальшиві посилання на зустрічі» повний аналіз: шість залізних законів довгострокового захисту» Ця стаття була вперше опублікована в журналі BlockTempo «Динамічний тренд - найвпливовіше новинне медіа блокчейну».