Οι απατεώνες υποδύονται τον αντιπρόσωπο της πτώχευσης για τον δανειστή κρυπτονομισμάτων Celsius σε επιθέσεις
phishing
που επιχειρούν να κλέψουν χρήματα από πορτοφόλια κρυπτονομισμάτων.
Τον Ιούλιο του
2022
, ο δανειστής κρυπτογράφησης Celsius υπέβαλε αίτηση πτώχευσης και πάγωσε τις αναλήψεις από λογαριασμούς χρηστών. Από τότε οι πελάτες έχουν υποβάλει αξιώσεις κατά της εταιρείας, ελπίζοντας να ανακτήσουν ένα μέρος των κεφαλαίων.
Τις τελευταίες ημέρες,
άνθρωποι έχουν αναφέρει
λαμβάνοντας μηνύματα ηλεκτρονικού ψαρέματος που προσποιούνται ότι είναι από τον Stretto, τον Αντιπρόσωπο Απαιτήσεων για τη διαδικασία πτώχευσης του Κελσίου.
Ένας παραλήπτης μοιράστηκε το
μήνυμα
ηλεκτρονικού ψαρέματος με την BleepingComputer, η οποία ισχυρίζεται ότι προσφέρει στους πιστωτές ένα παράθυρο εξόδου 7 ημερών για να διεκδικήσουν τα δεσμευμένα κεφάλαιά τους.
Το email αναφέρει ότι προέρχονται από την “Stretto Corporate Restructing”, χρησιμοποιώντας τη διεύθυνση email
, όπως φαίνεται παρακάτω.
Μήνυμα ηλεκτρονικού ψαρέματος σε βαθμούς Κελσίου
Πηγή: BleepingComputer
Το email ηλεκτρονικού ψαρέματος περιλαμβάνει έναν σύνδεσμο προς τον ιστότοπο
θήκη-stretto[.]com
το οποίο ανακατευθύνει τον παραλήπτη στον ιστότοπο phishing
αξιώσεις-stretto[.]com
παρακάτω. Οι αξιώσεις-stretto[.]Ο τομέας com καταχωρήθηκε
σήμερα
και φιλοξενείται σε έναν πάροχο φιλοξενίας ιστοσελίδων στις Σεϋχέλλες.
Ο νόμιμος ιστότοπος Stretto για αξιώσεις Κελσίου βρίσκεται στη διεύθυνση https://cases.stretto.com/celsius/claims/.
Ιστότοπος ψαρέματος που υποδύεται τον ιστότοπο αξιώσεων Κελσίου
Πηγή: BleepingComputer
Η σελίδα προτρέπει τους επισκέπτες να εισαγάγουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους για να αποσύρουν την αξίωσή τους και όταν πατηθεί το κουμπί υποβολής, ανοίγει μια προτροπή WalletConnect για να συνδέσει το εγκατεστημένο πορτοφόλι κρυπτονομισμάτων με τον ιστότοπο.
Προτροπή για σύνδεση κρυπτογραφικού πορτοφολιού
Πηγή: BleepingComputer
Εάν συνδέσετε ένα πορτοφόλι, ο ιστότοπος θα έχει πλέον πρόσβαση σε όλες τις πληροφορίες που είναι αποθηκευμένες σε αυτό, συμπεριλαμβανομένων των διευθύνσεων κρυπτογράφησης, των υπολοίπων, της δραστηριότητας και της δυνατότητας να προτείνει συναλλαγές.
Σύνδεση MetaMask
Πηγή: BleepingComputer
Με αυτήν τη σύνδεση, οι φορείς απειλών μπορούν να επιχειρήσουν να αποστραγγίσουν όλα τα περιουσιακά στοιχεία και τα NFT που είναι αποθηκευμένα στο πορτοφόλι, συγκαλύπτοντας τη συναλλαγή ως κατάθεση.
Περνά τους ελέγχους SPF
Αυτή η καμπάνια ηλεκτρονικού ψαρέματος ξεχωρίζει επειδή τα μηνύματα ηλεκτρονικού ταχυδρομείου περνούν τους ελέγχους του πλαισίου πολιτικής αποστολέα (SPF), οι οποίοι καθορίζουν εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από έγκυρο διακομιστή ηλεκτρονικού ταχυδρομείου για τον τομέα αποστολής.
Το SPF εκτελεί αυτόν τον έλεγχο συγκρίνοντας τη διεύθυνση IP του διακομιστή αλληλογραφίας που στέλνει το email με μια λίστα διευθύνσεων IP που βρίσκονται στην εγγραφή SPF DNS για τον τομέα που χρησιμοποιείται στην κεφαλίδα αλληλογραφίας “Διαδρομή επιστροφής”.
Σε αυτήν την περίπτωση, η διαδρομή επιστροφής του ηλεκτρονικού “ψαρέματος” είναι ‘
‘, με το em6462.stretto.com να έχει εγγραφή SPF
v=spf1 ip4:149.72.171.199 -all
. Αυτή η εγγραφή SPF σημαίνει ότι τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου από το 149.72.171.199 θα πρέπει να θεωρούνται έγκυρα και να μην επισημαίνονται ως ανεπιθύμητα.
Καθώς αυτά τα μηνύματα ηλεκτρονικού ψαρέματος προέρχονται από το 149.72.171.199, το οποίο ανήκει στην εταιρεία μάρκετινγκ ηλεκτρονικού ταχυδρομείου SendGrid, περνούν τον έλεγχο SPF και επιτρέπονται για παράδοση.
Αυτό φαίνεται παρακάτω (ορισμένες πληροφορίες έχουν διαγραφεί), όπου το μήνυμα ηλεκτρονικού ταχυδρομείου παραδίδεται με επιτυχία στο Gmail αφού περάσει τους ελέγχους SPF.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.s=s1 header.b=xx;
spf=pass (google.com: domain of designates 149.72.171.199 as permitted sender) smtp.mailfrom="";
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=stretto.com
Ένας παραλήπτης ενός από αυτά τα μηνύματα ηλεκτρονικού ψαρέματος είπε στην BleepingComputer ότι δεν είχαν λογαριασμό στους βαθμούς Κελσίου και δεν υπέβαλαν ποτέ αίτηση ως πιστωτής, καθιστώντας περίεργο το γεγονός ότι έλαβαν αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου.
Οι παράγοντες απειλών είναι πιθανό να χρησιμοποιούν παλαιότερες λίστες επαφών που είχαν κλαπεί στο παρελθόν μέσω λογαριασμών μάρκετινγκ κρυπτονομισμάτων που έχουν παραβιαστεί.
Το BleepingComputer επικοινώνησε με το Stretto για να επιβεβαιώσει εάν ο
λογαριασμός
του SendGrid παραβιάστηκε για την αποστολή αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου, αλλά δεν έχει λάβει απάντηση.
Εάν λάβετε ένα email που ισχυρίζεται ότι αφορά τους ισχυρισμούς του Κελσίου, αγνοήστε το και ελέγξτε για νέες ενημερώσεις σχετικά με την υπόθεση στο νόμιμο
https://cases.stretto.com/celsius/
ιστοσελίδα.
Δυστυχώς, εάν έχετε ήδη επισκεφτεί έναν από αυτούς τους ιστότοπους phishing και έχετε χάσει χρήματα ή NFT μετά τη σύνδεση του πορτοφολιού σας, πιθανότατα δεν υπάρχει τρόπος να ανακτήσετε τα περιουσιακά σας στοιχεία.
Ο Κελσίου έχει
προηγουμένως αναφερθεί
παρόμοιες επιθέσεις phishing που χρησιμοποιούνται για την κλοπή των κεφαλαίων των πιστωτών.