'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd'

Onderzoekers van het Nederlandse beveiligingsbedrijf DearBytes hebben een phishingcampagne ontdekt die zich richt op gebruikers van MyEtherWallet. Ze ontdekten dat de campagne tot nu toe 13.000 euro heeft opgeleverd.

Onderzoeker Wesley Neelen schrijft dat hij een phishing-e-mail ontving die afkomstig lijkt te zijn van MyEtherWallet, dat is een dienst waarmee etherwallets aangemaakt kunnen worden. De domeinnaam van de afzender is alleen licht aangepast: in plaats van .com eindigt het adres op .coml. In de mail staat dat het in verband met een hard fork voor alle gebruikers vereist is om in te loggen en hun 'wallet te synchroniseren'. Neelen kwam er achter dat de url waarnaar de link in de mail verwijst, gebruikmaakt van unicode-karakters om visueel te lijken op de echte MyEtherWallet-url. Wie nauwkeurig kijkt, ziet echter dat de laatste letter 't' anders is. Daarnaast maakt de phishingsite gebruik van https om een legitieme indruk te wekken.

Samen met een andere onderzoeker was Neelen in staat om de bestanden op de webserver van de site in kaart te brengen. Daarbij stuitten ze via een php-bestand op een logbestand dat alle livestatistieken van de site bijhield. Aan de hand daarvan was het mogelijk om in kaart te brengen hoeveel mensen daadwerkelijk hun gegevens op de phishingsite hadden ingevuld. Een van de slachtoffers verloor op die manier 42,5 ether, wat neerkomt op ongeveer 10.600 euro. Het totale bedrag van 13.000 euro was binnen een tijdsbestek van 2 uur binnengehaald, aldus Neelen. Hij heeft de hoster van de phishingsite op de hoogte gesteld, maar betwijfelt dat deze offline zal worden gehaald.

De onderzoeker zegt dat hij de e-mail ontving op een uniek e-mailadres waarmee hij zich alleen had geregistreerd voor een initial coin offering, waarmee het bedrijf achter de chatapp Kik ether wil ophalen om de cryptocurrency Kin te introduceren. Hij zou het adres alleen gebruikt hebben om zich in te schrijven in de Kin Token pre-registration mailing list. Dat roept de vraag op hoe de mensen achter de phishingcampagne aan het adres zijn gekomen. De Kin Foundation heeft niet op een contactpoging van de onderzoeker gereageerd.

Het is niet de eerste keer dat er rond een ico geld wordt gestolen. In het verleden gebeurde dat bijvoorbeeld door de site aan te passen met daarop het adres waar ether naartoe overgemaakt kon worden. Doordat aanvallers zich richten op mensen waarvan ze weten dat zij ether bezitten, neemt de kans toe dat hun phishingcampagne succes heeft.

De phishingsite in kwestie

IT-banen

Reacties (42)

Luit_ 25 oktober 2017 13:35

Ik werk bij dit bedrijf (MyEtherWallet) en wij ontvangen momenteel ongeveer 100 emails per dag van gebruikers die gephished zijn. Wij proberen gebruikers zo veel mogelijk voor te lichten over hoe belangrijk het is om altijd de goeie URL en SSL certificaat te checken, maar blijkbaar is dit niet genoeg.

Mocht je gebruik van maken van dergelijke cryptowebsites, installeer dan even EtherAddressLookup zodat allerlei phishing links automatisch geblokkeerd worden.

[Reactie gewijzigd door Luit_ op 22 juli 2024 15:47]

clx_ @Luit_ • 25 oktober 2017 13:38

https://etherscamdb.info/scams/

Zeer handige website om de status van verschillende phishing sites te laten zien.

Siemen6 @clx_ • 25 oktober 2017 13:41

Is ook gemaakt door @Luit_, top gozer.

[Reactie gewijzigd door Siemen6 op 22 juli 2024 15:47]

djexplo @Luit_ • 25 oktober 2017 14:06

Gebruik je Firefox dan kan je in about:config ook "Network.IDN_show_punycode" op true zetten.
Dan word een unicode character weergeven als een combinatie van 2 of 3 normale characters. Dus dan kan je sneller zien dat een URL niet klopt...

wica @djexplo • 25 oktober 2017 15:47

Ja en wat heeft de normale gebruiker er aan?
Dit probleem hadden we al met paypal welke allemaal het zelfde leek, tenzij je Network.IDN_show_punycode idd op true had staan.

Maar hoeveel normale gebruikers doen dat?

IDN is echt heel slecht voor de veiligheid van Internet, totdat de browsers dit default op true gaan zetten.

Net even in mijn spambox gekeken, pff, zeker 10 mails omtrent MyEtherWallet, terwijl ik er nooit iets mee gedaan heb.
Dus ik vraag mij af, hoe ze aan mijn e-mail komen, enigste wat ik mij kan voorstellen in dit geval, is dat ze o.a. blockstack leeg getrokken hebben.

rkeet @Luit_ • 25 oktober 2017 15:38

Ken(de) jullie nog niet, maar misschien een idee om over te gaan op plain-text emails naar gebruikers? Dit ook naar hen communiceren en heeeeelll duidelijk maken (Stuur het een aantal keer en vervolgens maandelijks?) dat jullie nooit links in emails sturen?

Beetje hetzelfde principe afkijken als dat mijnoverheid gebeuren en verschillende anderen instanties? Zou waarschijnlijk ook al een hoop schelen

Luit_ @rkeet • 25 oktober 2017 15:39

Wij versturen nooit emails naar onze gebruikers. Wij hebben ook geen e-mail addressen van onze gebruikers. Daarom kun je simpelweg alle emails die claimen dat ze van ons komen weggooien, tenzij jij ons eerst een email gestuurd hebt.

Lapa @Luit_ • 25 oktober 2017 15:43

Je hebt geen ongelijk hoor, maar met URLs met unicode karakters waardoor het nagenoeg niet van de echte URL te onderscheiden is en gebruik van https, is het zelfs voor een goed oplettende gebruiker mogelijk om voor de gek gehouden te worden.

En de tip om een Chrome plugin te installeren kan misschien echt een goede tip zijn, maar ik ben zelf juist heel huiverig om dit soort tooltjes en plugins te installeren, omdat ik bang ben dat die een aanvalsvector op cryptocurrency kunnen bevatten. Misschien niet nu, maar misschien wel na een (malafide) update. Immers weet een aanvaller dat mensen met zo'n tooltje hoogstwaarschijnlijk cryptocurrency bezitten.

Luit_ @Lapa • 25 oktober 2017 17:07

En gelijk heb je. Je kunt de code van Github downloaden en zelf in Chrome/Firefox importeren. Hiermee krijg je dus geen automatische updates.

biglia @Luit_ • 25 oktober 2017 17:09

Misschien kunnen jullie alvast die unicode domeinnamen die gelijken op myetherwallet.com registreren?

Luit_ @biglia • 25 oktober 2017 17:12

Er zijn zo belachelijk veel variaties dat dit ons heel veel geld en ook tijd gaat kosten. Daarbij zijn er altijd weer meer variaties te bedenken. Wij denken zelf dat het beter is om onze gebruikers voor te lichten dan onze gebruikers dom te houden en alle domeinnamen te registreren.

Op deze manier kunnen gebruikers niet zeggen "Ja, maar jullie hadden die variatie niet geregistreerd en de rest wel!" maar is het nog steeds hun eigen schuld.

MrBlues @Luit_ • 25 oktober 2017 13:43

Tja, het is heel hard maar dan moeten gebruikers maar niet zo dom zijn om op een link te klikken. Er staat duidelijk op MyEtherWallet wat je wel en niet moet doen en hetzelfde boerenverstand wat je bij je bank gebruikt moet je ook bij online wallets (al is MyEtherWallet dat niet echt) gebruiken.

Daarom leg ik ook elke keer aan een bank medewerker uit dat ik mijn email adres niet geef. Als ik nu een mail krijg van "mijn" bank weet ik namelijk zeker dat het spam/phising is. Die zekerheid heb ik niet als mijn bank mijn email adres heeft.

Datzelfde voordeel heb ik bij MyEtherWallet omdat ik daar alleen een private key van bewaar en geen account heb aangemaakt.

Yamotek @MrBlues • 25 oktober 2017 15:19

Nou het is anders zo dat er ook mensen 'gephished' worden met reclame die nota bene door de Bing zoekmachine worden weergeven (dit ging dan om de handelsplaats Bittrex, moest 2x zijn 2FA code ingeven vond hij vreemd maar hij deed het maar, meteen alles weg van zijn account).

Een foutje hierbij is zo gemaakt. Het kan 300x goed gaan en 1x fout en je bent alles kwijt. Zo zwart op wit als jij het noemt wil ik het niet stellen, ik denk ook altijd goed te kijken naar hoe alles werkt maar als zelfs zoekmachines al 'scam' resultaten als reclame neerzetten wordt het voor een 'gewone' gebruiker wel heel lastig om echt van nep te kunnen onderscheiden.

Daarbij ga jij met je verhaal er niet op in dat ook jij zonder een account aan te maken op MEW, op de verkeerde website terecht kan komen (die hetzelfde is alleen ipv een W 2x een VV gebruikt MyEtherVVallet bv). Het is schrikbarend hoeveel scams er worden uitgevoerd rondom cryptocurrencies. Een vriend van mij is zo ook €500,- kwijt geraakt doordat hij 1x even niet oplette en de verkeerde link via een zoekmachine aanklikte.

multipasser @Luit_ • 25 oktober 2017 14:27

Ja, maar vorige weken nog zocht ik naar myetherwallet via google en boven jullie websitelink stond een Advertentie via Google van MyEtherWallet. Als je er op klikt lijkt het idd jullie site enkel was in de url maar 1 letter aangepast! Vervelend als je via google zoek, even iets minder oplet en de eerste link (adv) klikt, terwijl het er zeer legit uitziet.

Luit_ @multipasser • 25 oktober 2017 14:28

Ik raad je zeker aan om een adblocker te installeren die google ads blokkeert. We hebben wel opgemerkt dat Google de laatste week actiever is in het weren van deze advertenties.

supersnathan94 @Luit_ • 25 oktober 2017 15:14

Ik raad aan om dit op HOSTS level te doen. Dan maak je het expliciet en kan je niet per ongeluk je adblocker uitzetten. Geen enkele google ad werkt bij mij.

Bux666 @Luit_ • 25 oktober 2017 14:20

Voor de Firefox gebruikers: volgens de site van EtherAddressLookup werkt deze since v1.4 ook onder Firefox.

slijkie @Luit_ • 25 oktober 2017 17:24

De slack kanalen van de NLG (Gulden), heeft ook continue van deze phishing berichten. Onbegrijpelijk hoe domme mensen zo makkelijk af te persen zijn. Snap eigenlijk best wel waarom zoveel mensen nu tegen zichzelf beschermd moeten worden

cappie 25 oktober 2017 13:18

... en daarom vond ik het in 2003 al een waardeloos idee dat domeinnamen met unicode-characters toegestaan gingen worden; om EXACT deze reden..

edit: link naar RFC toegevoegd

[Reactie gewijzigd door cappie op 22 juli 2024 15:47]

supersnathan94 @cappie • 25 oktober 2017 15:17

Uit dat document :

While such names are very user-unfriendly to read and
type, and hence are not suitable for user input, they allow (for
instance) replying to email and clicking on URLs even though the
domain name displayed is incomprehensible to the user.

Zo maak je phishing wel heeeeeeel makkelijk.

fishy 25 oktober 2017 13:26

In het land van cybercrime is EUR 13,000 toch echt een peuterschil?

Vorig jaar (2016) stolen hackers, vermoedelijk van Noord-Koreaanse afkomst, USD 81 miljoen van de Centrale Bank van Bangladesh uit de New York Federal Reserve via een exploit in het SWIFT systeem. Kijk dat is nieuws!

guysp @fishy • 25 oktober 2017 13:31

13,000 euro op 2 uur stelen is toch wel een flinke prestatie.

fishy @guysp • 25 oktober 2017 13:42

Als je dat verrekent naar de hackers uit 2016 hadden die meer dan 74 dagen om op hetzelfde tempo het geld te ontfutselen. Volgens Wired (bron) hadden de hackers in 2016 enkele uren nodig. Dus deze hack is echt een non-event economisch gezien.

Het technische verhaal achter deze phisingcampagne is daarentegen wel interessant.

pvink @fishy • 25 oktober 2017 14:22

Tijdens ICO's is het wel eens voorgekomen dat er een veelvoud van die 12k is gestolen aangezien de gehele slack channel gespammed werd met een nep wallet adres. Ik snap niet dat mensen iets naar een adres sturen wat 100x gespammed wordt door iemand.

simlock @fishy • 25 oktober 2017 15:40

Als je 10.000 euro een peuleschil vind mag je ze in Ether naar mijn wallet sturen. Wil je mijn adres??

snrwo1 @fishy • 25 oktober 2017 14:47

waarom heeft iemand voor die waarde digitaal geld? Om box 3 te omzeilen?

cotix @snrwo1 • 25 oktober 2017 21:38

Dit is niet 1 iemand; dit is de totale opbrengst van de phising praktrijk. Daarnaast zijn er zat mensen die dat of meer in crypto hebben voor andere redenen dan belastingsfraude. (speculeren etc)

supersnathan94 @snrwo1 • 25 oktober 2017 15:19

Ws vroeg ingekocht? Of geautomatiseerd? Er zijn korte momenten waarop ethereum een maand if wat geleden ongeveer $0,01 was. Dan €1 investeren en je bent rijk.

Verwijderd @fishy • 25 oktober 2017 14:04

En dat was dus ook nieuws:
nieuws: 'Geldroof centrale bank Bangladesh via hack in Swift-software gepleegd'

Saturnus 25 oktober 2017 13:24

Let ook op Google Ads. Zelfs ads in Google's zoekresultaten linken naar scam sites. En die ads kan je niet rapporteren.

Verwijderd @Saturnus • 25 oktober 2017 13:38

Jawel,

scroll naar onderen op de pagina, klik op "Send feedback" of "Verstuur feedback", licht vervolgens toe in een klein text vak wat er is en selecteer de betreffende advertentie en klik op submit. Je kunt meerdere sites selecteren als dat moet.

SmokingCrop 25 oktober 2017 13:37

Euh, er zijn letterlijk 100+ phising versies van de myetherwallet website.
Elke mail over MEW mag je als phising zien..

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 15:47]

The_Worst 25 oktober 2017 13:57

Vul daarom ook altijd zelf het adres in de adresbalk van je browser. Gebruik bookmarks of gebruik veilige extensies. Eventueel een passwordmanager die automatisch het wachtwoord invult op de juiste site. Er gaat heel veel geld om in de cryptowereld en regelmatig lees je berichten dat mensen hun munten kwijt zijn. Het is altijd de schuld van de gebruiker want 90% letten ze niet op en maken ze een (typ)fout.

Controleer altijd alles dubbel en zet ook overal 2FA aan, zonder sms want het is eigen schuld dikke bult.

simlock 25 oktober 2017 15:30

ik heb PRECIES hetzelfde met de comsa ICO meegemaakt, wel op de link naar de ether-doneer-site geklinkt maar mij viel ook op dat de URL niet klopte en het reply-adres 'replay@comsa.com' was.

Direct harde schijf geformateerd uit angst voor een keylogger.

[Reactie gewijzigd door simlock op 22 juli 2024 15:47]

Kain_niaK 25 oktober 2017 15:52

Ik krijg gigantisch van dit soort mail. Bijvoorbeeld mails dat er een transactie naar een van mijn bitcoin addresses is gedaan die zogenaamd afkomt van blockchain.net
Als je echter over de url hovert dan zie je een totaal onbekende domein naam, maar als je op klikt word je doorverwezen naar een domeinnaam met een simpel spelfoutjes of andere letter in. Bv Blockchaln.net met een l ipv een i. Die valse website is exact zoals de echte en geeft ook fout meldingen en zo. Daarom dat het ok zo belangrijk is om 2 factor autenticatie aan te zetten. Op mijn bitfinex account heb ik in sommige gevallen 3 factor authenthicatie. Voor een transfer mogelijk is krijg ik een sms code en moet ik via email nog eens toestemming gen. Dus twee verschillende passworden + sms code. Nou maar hopen dat Bitfinex geen mt goxje doet voor ik mijn funds weg heb. Die hoge bitcoin prijzen maken mij soms flink nerveus want nu kan ik "potentieel" een stuk meer kwijt raken. (of beter gezegd, winst kwijtraken).

Verwijderd @Kain_niaK • 25 oktober 2017 22:21

Hardwarewallet gebruiken. Als r gehandeld moet worden gepast aantal naar exchange sturen.
Zeker als je je coins vooral in storage hebt is er geen reden om ze op een exchange of webwallet te hebben. Als je wat meer exotische coins hebt die een hwwallet niet ondersteund verspreid ik die over webwallet en verschillende exchanges als t grotere bedragen zijn.

Ledger nano s kost 7 tientjes. Kleine investering.

Kain_niaK @Verwijderd • 25 oktober 2017 23:58

Ik heb een hardware wallet en ook cold storage maar ik heb ooit een account gehad bij blockchain.net en vele andere websites waar je regelmatig phising mails voor krijgt.

Liberteh 25 oktober 2017 17:13

Ik word ook doodgegooid met reclame voor de phisingvariant. Slack channels, per mail, ga zo maar door.

Wat mij meer bevreemd is dat de "onderzoeker" computervredebreuk heeft gepleegd en dat niemand dat hier aangeeft.

croiky @Defector • 25 oktober 2017 16:46

Je lijkt ff te vergeten dat de meeste mensen niet in het wereldje zitten en waarvoor dit gewoon nieuws is

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: