Skoči na vsebino

Zlorabe kriptodenarnic

Kriptodenarnice so priljubljena tarča kiberkriminalcev, saj omogočajo takojšnjo monetizacijo vdora, napadalcem zagotavljajo veliko mero anonimnosti pred organi pregona, poleg tega pa so transakcije dokončne in nepovratne. Verjetnost povrnitve ukradenih sredstev iz kriptodenarnice je izredno majhna. Zato je zelo pomembno, da se dostop do kriptodenarnic zaščiti v največji možni meri, za kar pa je potrebno dobro poznavanje tehnologije, na podlagi katere delujejo kriptovalute. Varnost sredstev v kriptodenarnicah je v največji meri odvisna zgolj od samih uporabnikov.

Kiberkriminalci do kriptodenarnic dostopajo na različne načine, največkrat pa preko phishing napadov in preko okužbe računalnika z vohunskim virusom (information stealer). V nadaljevanju sledi opis najpogostejših načinov kraje sredstev iz kripodenarnic, ki smo jih obravnavali na SI-CERT.

Kraja datoteke z zasebnim ključem (wallet.dat)

Originalni Bitcoin klient in nekateri altcoin klienti podatke o kriptodenarnici, vključno z zasebnim ključem, shranjujejo v posebni datoteki. Za Bitcoin je to datoteka wallet.dat, ki se Windows sistemih običajno nahaja v mapi %APPDATA%\Bitcoin. Nekateri virusi po okužbi na sistemu poiščejo datoteke z imenom wallet.dat in jih pošljejo napadalcem. V primeru, da je datoteka zaščitena z geslom, tega pridobijo s pomočjo keyloggerja.

Slika prikazuje del zajetega omrežnega prometa

POST /bitcoin.php? HTTP/1.0

HTTP/1.1 302 Found
Primer zajema omrežnega prometa iz okuženega sistema. Na strežnik napadalca je bila poslana vsebina datoteke wallet.dat.

Manipulacija z odložiščem

Nekateri virusi vsebujejo modul za manipulacijo z vsebino na odložišču (angl. clipboard). Del programa neprestano nadzoruje vsebino odložišča, in če v njem preko predefiniranih regularnih izrazov zazna naslov kriptodenarnice (npr. ko želi uporabnik prenakazati sredstva), spremeni vsebino na tak način, da namesto originalnega naslova kriptodenarnice vstavi naslov kriptodenarnice napadalca. Naslovi kriptodenarnic so praviloma sestavljeni iz nizov številk in črk, ki so nam dokaj neberljivi in zaradi česar jih težko razlikujemo med seboj na pogled. Žrtev spremembo dostikrat opazi šele po potrditvi transakcije, kar praviloma pomeni dokončno izgubo sredstev.

Video prikazuje spremembo vsebine odložišča pri kopiranju naslova kripto denarnice
Slika prikazuje .net kodo. Izsek iz kode:
function p() {
  Param(
    [Parameter(Mandatory = $True, Position = 0)]
    [string] $t
  )[Regex] $n = '^(bc1)(?:[a-z0-9]{39}|[a-z0-9]{59})$'
  $j = $t - match[Regex] $n
  return $j
}
function g() {
  Add - Type - AssemblyName System.Windows.Forms
  $k = '17Rg2JfAamMfGAaihhhqBxZX3Lz9YVGy17'
Izsek iz kode virusa, ki zamenja naslov denarnice v odložišču

Kraje gesel za spletne denarnice

Praktično vsak vohunski virus vsebuje funkcionalnost kraje shranjenih gesel v brskalniku in drugih spletnih odjemalcih. Če ima potencialna žrtev sredstva na kateri od kripto borz ali v spletni denarnici, geslo za uporabniški račun pa shranjeno v brskalniku, lahko napadalci že takoj po začetni okužbi vdrejo v uporabniški račun in sredstva prenakažejo drugam. Zaščita pred tako zlorabo je uporaba večfaktorske avtentikacije, pri kateri je poleg gesla za prijavo potrebno vpisati še dodatno kodo, ki se jo običajno zgenerira z aplikacijo na pametnem telefonu.

Nekaj primerov analiz zlonamerne kode, ki vsebujejo funkcionalnost kraje shranjenih gesel:

Kje vse se lahko skrivajo virusi?

– v priponkah elektronske pošte (ali v datotekah, do katerih vodijo povezave v sporočilu)

– v lažnih botih za trgovanje

– v piratskih igrah in programih

– v programih za manipuliranje iger (goljufanje)

– v lažnih aplikacijah za povečanje varnosti ali izboljšanje (pohitritev) delovanja sistema

– v lažnih razširitvah brskalnikov za upravljanje s kriptdenarnicami

– …

Phishing napadi

Spletne denarnice in kripto borze so pogosto tarča phishing napadov. Cilj napadalcev so avtentikacijski podatki za dostop do računov ali pa zasebni ključi denarnic (npr. MyEtherWallet). Če na phishing spletni strani žrtev pošlje zasebni ključ (lahko tudi v obliki večbesedne fraze ali datoteke s ključem), pridobijo napadalci dostop do vseh sredstev na denarnici.

Družbeni inženiring in goljufije

Podvojite svoj denar!

Podvojite svoj denar (ang. Double your money) je oblika prevare, pri kateri kiberkriminalci obljubljajo podvojitev nakazanih kriptokovancev ali kriptožetonov. Take napade pogosto izvajajo preko zlorabljenih profilov znanih osebnosti ali organizacij, kar lahko žrtve preslepi, da nasedejo obljubam.

Investicijske prevare

Rast vrednosti kriptovalut je razlog, ki ga kiberkriminalci izrabljajo za novačenje žrtev v goljufive investicijske sheme, za katerimi pa dejansko ni nobenih kriptovalut, so le lažne obljube po velikem zaslužku ob minimalnem tveganju. Bolj podrobno so investicijske prevare opisane na naši spletni strani Varni na internetu:

Varni na internetu: Investicijske prevare s kriptovalutami

Dodatne vsebine

Varni na internetu: Varno v svet kriptovalut

Preberite tudi

Nova spletna serija “Klik”

Na SI-CERT smo posneli novo spletno video serijo "KLIK", v kateri izpostavimo človeški vidik in prevare predstavimo skozi zgodbe žrtev.
Več

Microsoftovi popravki november 2021

Microsoft je 9.11.2021 izdal popravke za 55 varnostnih ranljivosti v njihovi programski opremi, med drugim tudi za dve 0-day ranljivosti, ki se že aktivno izkoriščata v napadih.
Več

Ameriška CISA objavila obširen katalog ranljivih produktov

Ameriška agencija CISA je objavila obširen katalog varnostnih ranljivosti, ki se aktivno izkoriščajo na omrežju. Ta je koristen pripomoček vsem skrbnikom IKT sistemov pri preverjanju potencialnih ranljivosti.
Več