Kryptoinvestorer oplevede et markant hop i avancerede “signature phishing”-angreb i januar, hvor tabene steg med over 200%.
Ifølge data fra blockchain-sikkerhedsfirmaet Scam Sniffer blev der i årets første måned drænet cirka 6,3 millioner dollars fra brugeres wallets via signature phishing. Selvom antallet af ofre faldt med 11%, steg den samlede værdi, der blev stjålet, med 207% i forhold til december.
Signature phishing og address poisoning skabte kaos i januar
Den forskel understreger et taktisk skifte blandt cyberkriminelle med fokus på såkaldt “hvaljagt”. Strategien går ud på at ramme et mindre antal personer med store værdier i stedet for at brede indsatsen ud på mange små private konti.
Scam Sniffer rapporterede, at blot to ofre stod for næsten 65% af alle tab ved signature phishing-angreb i januar. I den største enkeltstående hændelse mistede en bruger 3,02 millioner dollars efter at have underskrevet en ondsindet “permit”- eller “increaseAllowance”-funktion.
Disse mekanismer giver en tredjepart ubegrænset adgang til at flytte tokens fra en wallet. Det gør det muligt for angribere at tømme midler uden, at brugeren skal godkende en specifik transaktion.
Mens signature scams udnytter forvirrende tilladelser, eksisterer der også en separat og lige så skadelig trussel kaldet “address poisoning”, som også plager branchen.
Et skarpt eksempel på denne metode så man, da en enkelt investor mistede 12,25 millioner dollars i januar efter at have sendt midler til en bedragerisk adresse.
Address poisoning udnytter brugeres vaner ved at skabe “forfængelige” eller “lookalike” adresser. Disse bedrageriske adresser efterligner de første og sidste tegn på en ægte wallet, som findes i en brugers transaktionshistorik.
Angriberen håber, at brugeren kopierer og indsætter den kompromitterede adresse fra sin historik, i stedet for at tjekke hele strengen.
Stigningen i sådanne episoder fik Safe Labs, udvikleren bag den populære multisig-wallet, tidligere kendt som Gnosis Safe, til at udsende en advarsel om sikkerhed. Virksomheden identificerede en koordineret social engineering-kampagne rettet mod deres brugere, hvor cirka 5.000 ondsindede adresser blev benyttet.
“Vi har identificeret en koordineret indsats fra ondsindede aktører, som har oprettet tusindvis af lookalike Safe-adresser for at narre brugere til at sende midler til forkerte adresser. Det her er social engineering kombineret med address poisoning,” udtalte virksomheden.
Dermed advarede virksomheden brugere om altid at tjekke hele den alfanumeriske streng på enhver modtageradresse, før man udfører overførsler med høje værdier.
