Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd'

Onderzoekers van het Nederlandse beveiligingsbedrijf DearBytes hebben een phishingcampagne ontdekt die zich richt op gebruikers van MyEtherWallet. Ze ontdekten dat de campagne tot nu toe 13.000 euro heeft opgeleverd.

Onderzoeker Wesley Neelen schrijft dat hij een phishing-e-mail ontving die afkomstig lijkt te zijn van MyEtherWallet, dat is een dienst waarmee etherwallets aangemaakt kunnen worden. De domeinnaam van de afzender is alleen licht aangepast: in plaats van .com eindigt het adres op .coml. In de mail staat dat het in verband met een hard fork voor alle gebruikers vereist is om in te loggen en hun 'wallet te synchroniseren'. Neelen kwam er achter dat de url waarnaar de link in de mail verwijst, gebruikmaakt van unicode-karakters om visueel te lijken op de echte MyEtherWallet-url. Wie nauwkeurig kijkt, ziet echter dat de laatste letter 't' anders is. Daarnaast maakt de phishingsite gebruik van https om een legitieme indruk te wekken.

Samen met een andere onderzoeker was Neelen in staat om de bestanden op de webserver van de site in kaart te brengen. Daarbij stuitten ze via een php-bestand op een logbestand dat alle livestatistieken van de site bijhield. Aan de hand daarvan was het mogelijk om in kaart te brengen hoeveel mensen daadwerkelijk hun gegevens op de phishingsite hadden ingevuld. Een van de slachtoffers verloor op die manier 42,5 ether, wat neerkomt op ongeveer 10.600 euro. Het totale bedrag van 13.000 euro was binnen een tijdsbestek van 2 uur binnengehaald, aldus Neelen. Hij heeft de hoster van de phishingsite op de hoogte gesteld, maar betwijfelt dat deze offline zal worden gehaald.

De onderzoeker zegt dat hij de e-mail ontving op een uniek e-mailadres waarmee hij zich alleen had geregistreerd voor een initial coin offering, waarmee het bedrijf achter de chatapp Kik ether wil ophalen om de cryptocurrency Kin te introduceren. Hij zou het adres alleen gebruikt hebben om zich in te schrijven in de Kin Token pre-registration mailing list. Dat roept de vraag op hoe de mensen achter de phishingcampagne aan het adres zijn gekomen. De Kin Foundation heeft niet op een contactpoging van de onderzoeker gereageerd.

Het is niet de eerste keer dat er rond een ico geld wordt gestolen. In het verleden gebeurde dat bijvoorbeeld door de site aan te passen met daarop het adres waar ether naartoe overgemaakt kon worden. Doordat aanvallers zich richten op mensen waarvan ze weten dat zij ether bezitten, neemt de kans toe dat hun phishingcampagne succes heeft.

De phishingsite in kwestie

Door

Nieuwsredacteur

42 Linkedin Google+

Reacties (42)

Wijzig sortering
Ik werk bij dit bedrijf (MyEtherWallet) en wij ontvangen momenteel ongeveer 100 emails per dag van gebruikers die gephished zijn. Wij proberen gebruikers zo veel mogelijk voor te lichten over hoe belangrijk het is om altijd de goeie URL en SSL certificaat te checken, maar blijkbaar is dit niet genoeg.

Mocht je gebruik van maken van dergelijke cryptowebsites, installeer dan even EtherAddressLookup zodat allerlei phishing links automatisch geblokkeerd worden.

[Reactie gewijzigd door Luit_ op 25 oktober 2017 13:35]

https://etherscamdb.info/scams/

Zeer handige website om de status van verschillende phishing sites te laten zien.
Is ook gemaakt door @Luit_, top gozer.

[Reactie gewijzigd door Siemen6 op 25 oktober 2017 13:46]

Gebruik je Firefox dan kan je in about:config ook "Network.IDN_show_punycode" op true zetten.
Dan word een unicode character weergeven als een combinatie van 2 of 3 normale characters. Dus dan kan je sneller zien dat een URL niet klopt...
Ja en wat heeft de normale gebruiker er aan?
Dit probleem hadden we al met paypal welke allemaal het zelfde leek, tenzij je Network.IDN_show_punycode idd op true had staan.

Maar hoeveel normale gebruikers doen dat?

IDN is echt heel slecht voor de veiligheid van Internet, totdat de browsers dit default op true gaan zetten.

Net even in mijn spambox gekeken, pff, zeker 10 mails omtrent MyEtherWallet, terwijl ik er nooit iets mee gedaan heb.
Dus ik vraag mij af, hoe ze aan mijn e-mail komen, enigste wat ik mij kan voorstellen in dit geval, is dat ze o.a. blockstack leeg getrokken hebben.
Ken(de) jullie nog niet, maar misschien een idee om over te gaan op plain-text emails naar gebruikers? Dit ook naar hen communiceren en heeeeelll duidelijk maken (Stuur het een aantal keer en vervolgens maandelijks?) dat jullie nooit links in emails sturen?

Beetje hetzelfde principe afkijken als dat mijnoverheid gebeuren en verschillende anderen instanties? Zou waarschijnlijk ook al een hoop schelen
Wij versturen nooit emails naar onze gebruikers. Wij hebben ook geen e-mail addressen van onze gebruikers. Daarom kun je simpelweg alle emails die claimen dat ze van ons komen weggooien, tenzij jij ons eerst een email gestuurd hebt.
Je hebt geen ongelijk hoor, maar met URLs met unicode karakters waardoor het nagenoeg niet van de echte URL te onderscheiden is en gebruik van https, is het zelfs voor een goed oplettende gebruiker mogelijk om voor de gek gehouden te worden.

En de tip om een Chrome plugin te installeren kan misschien echt een goede tip zijn, maar ik ben zelf juist heel huiverig om dit soort tooltjes en plugins te installeren, omdat ik bang ben dat die een aanvalsvector op cryptocurrency kunnen bevatten. Misschien niet nu, maar misschien wel na een (malafide) update. Immers weet een aanvaller dat mensen met zo'n tooltje hoogstwaarschijnlijk cryptocurrency bezitten.
En gelijk heb je. Je kunt de code van Github downloaden en zelf in Chrome/Firefox importeren. Hiermee krijg je dus geen automatische updates.
Misschien kunnen jullie alvast die unicode domeinnamen die gelijken op myetherwallet.com registreren?
Er zijn zo belachelijk veel variaties dat dit ons heel veel geld en ook tijd gaat kosten. Daarbij zijn er altijd weer meer variaties te bedenken. Wij denken zelf dat het beter is om onze gebruikers voor te lichten dan onze gebruikers dom te houden en alle domeinnamen te registreren.

Op deze manier kunnen gebruikers niet zeggen "Ja, maar jullie hadden die variatie niet geregistreerd en de rest wel!" maar is het nog steeds hun eigen schuld.
Tja, het is heel hard maar dan moeten gebruikers maar niet zo dom zijn om op een link te klikken. Er staat duidelijk op MyEtherWallet wat je wel en niet moet doen en hetzelfde boerenverstand wat je bij je bank gebruikt moet je ook bij online wallets (al is MyEtherWallet dat niet echt) gebruiken.

Daarom leg ik ook elke keer aan een bank medewerker uit dat ik mijn email adres niet geef. Als ik nu een mail krijg van "mijn" bank weet ik namelijk zeker dat het spam/phising is. Die zekerheid heb ik niet als mijn bank mijn email adres heeft.

Datzelfde voordeel heb ik bij MyEtherWallet omdat ik daar alleen een private key van bewaar en geen account heb aangemaakt.
Nou het is anders zo dat er ook mensen 'gephished' worden met reclame die nota bene door de Bing zoekmachine worden weergeven (dit ging dan om de handelsplaats Bittrex, moest 2x zijn 2FA code ingeven vond hij vreemd maar hij deed het maar, meteen alles weg van zijn account).

Een foutje hierbij is zo gemaakt. Het kan 300x goed gaan en 1x fout en je bent alles kwijt. Zo zwart op wit als jij het noemt wil ik het niet stellen, ik denk ook altijd goed te kijken naar hoe alles werkt maar als zelfs zoekmachines al 'scam' resultaten als reclame neerzetten wordt het voor een 'gewone' gebruiker wel heel lastig om echt van nep te kunnen onderscheiden.

Daarbij ga jij met je verhaal er niet op in dat ook jij zonder een account aan te maken op MEW, op de verkeerde website terecht kan komen (die hetzelfde is alleen ipv een W 2x een VV gebruikt MyEtherVVallet bv). Het is schrikbarend hoeveel scams er worden uitgevoerd rondom cryptocurrencies. Een vriend van mij is zo ook ¤500,- kwijt geraakt doordat hij 1x even niet oplette en de verkeerde link via een zoekmachine aanklikte.
Ja, maar vorige weken nog zocht ik naar myetherwallet via google en boven jullie websitelink stond een Advertentie via Google van MyEtherWallet. Als je er op klikt lijkt het idd jullie site enkel was in de url maar 1 letter aangepast! Vervelend als je via google zoek, even iets minder oplet en de eerste link (adv) klikt, terwijl het er zeer legit uitziet.
Ik raad je zeker aan om een adblocker te installeren die google ads blokkeert. We hebben wel opgemerkt dat Google de laatste week actiever is in het weren van deze advertenties.
Ik raad aan om dit op HOSTS level te doen. Dan maak je het expliciet en kan je niet per ongeluk je adblocker uitzetten. Geen enkele google ad werkt bij mij.
Voor de Firefox gebruikers: volgens de site van EtherAddressLookup werkt deze since v1.4 ook onder Firefox.
De slack kanalen van de NLG (Gulden), heeft ook continue van deze phishing berichten. Onbegrijpelijk hoe domme mensen zo makkelijk af te persen zijn. Snap eigenlijk best wel waarom zoveel mensen nu tegen zichzelf beschermd moeten worden |:(
... en daarom vond ik het in 2003 al een waardeloos idee dat domeinnamen met unicode-characters toegestaan gingen worden; om EXACT deze reden..

edit: link naar RFC toegevoegd

[Reactie gewijzigd door cappie op 25 oktober 2017 13:19]

Uit dat document :
While such names are very user-unfriendly to read and
type, and hence are not suitable for user input, they allow (for
instance) replying to email and clicking on URLs even though the
domain name displayed is incomprehensible to the user.
8)7 8)7 |:( :X :|

Zo maak je phishing wel heeeeeeel makkelijk.
In het land van cybercrime is EUR 13,000 toch echt een peuterschil?

Vorig jaar (2016) stolen hackers, vermoedelijk van Noord-Koreaanse afkomst, USD 81 miljoen van de Centrale Bank van Bangladesh uit de New York Federal Reserve via een exploit in het SWIFT systeem. Kijk dat is nieuws!
13,000 euro op 2 uur stelen is toch wel een flinke prestatie.
Als je dat verrekent naar de hackers uit 2016 hadden die meer dan 74 dagen om op hetzelfde tempo het geld te ontfutselen. Volgens Wired (bron) hadden de hackers in 2016 enkele uren nodig. Dus deze hack is echt een non-event economisch gezien.

Het technische verhaal achter deze phisingcampagne is daarentegen wel interessant.
Tijdens ICO's is het wel eens voorgekomen dat er een veelvoud van die 12k is gestolen aangezien de gehele slack channel gespammed werd met een nep wallet adres. Ik snap niet dat mensen iets naar een adres sturen wat 100x gespammed wordt door iemand.
Als je 10.000 euro een peuleschil vind mag je ze in Ether naar mijn wallet sturen. Wil je mijn adres??
waarom heeft iemand voor die waarde digitaal geld? Om box 3 te omzeilen?
Dit is niet 1 iemand; dit is de totale opbrengst van de phising praktrijk. Daarnaast zijn er zat mensen die dat of meer in crypto hebben voor andere redenen dan belastingsfraude. (speculeren etc)
Ws vroeg ingekocht? Of geautomatiseerd? Er zijn korte momenten waarop ethereum een maand if wat geleden ongeveer $0,01 was. Dan ¤1 investeren en je bent rijk.
Let ook op Google Ads. Zelfs ads in Google's zoekresultaten linken naar scam sites. En die ads kan je niet rapporteren.
Jawel,

scroll naar onderen op de pagina, klik op "Send feedback" of "Verstuur feedback", licht vervolgens toe in een klein text vak wat er is en selecteer de betreffende advertentie en klik op submit. Je kunt meerdere sites selecteren als dat moet.
Euh, er zijn letterlijk 100+ phising versies van de myetherwallet website.
Elke mail over MEW mag je als phising zien..

[Reactie gewijzigd door SmokingCrop op 25 oktober 2017 13:40]

Vul daarom ook altijd zelf het adres in de adresbalk van je browser. Gebruik bookmarks of gebruik veilige extensies. Eventueel een passwordmanager die automatisch het wachtwoord invult op de juiste site. Er gaat heel veel geld om in de cryptowereld en regelmatig lees je berichten dat mensen hun munten kwijt zijn. Het is altijd de schuld van de gebruiker want 90% letten ze niet op en maken ze een (typ)fout.

Controleer altijd alles dubbel en zet ook overal 2FA aan, zonder sms want het is eigen schuld dikke bult.
ik heb PRECIES hetzelfde met de comsa ICO meegemaakt, wel op de link naar de ether-doneer-site geklinkt maar mij viel ook op dat de URL niet klopte en het reply-adres 'replay@comsa.com' was.

Direct harde schijf geformateerd uit angst voor een keylogger.

[Reactie gewijzigd door simlock op 25 oktober 2017 15:31]

Ik krijg gigantisch van dit soort mail. Bijvoorbeeld mails dat er een transactie naar een van mijn bitcoin addresses is gedaan die zogenaamd afkomt van blockchain.net
Als je echter over de url hovert dan zie je een totaal onbekende domein naam, maar als je op klikt word je doorverwezen naar een domeinnaam met een simpel spelfoutjes of andere letter in. Bv Blockchaln.net met een l ipv een i. Die valse website is exact zoals de echte en geeft ook fout meldingen en zo. Daarom dat het ok zo belangrijk is om 2 factor autenticatie aan te zetten. Op mijn bitfinex account heb ik in sommige gevallen 3 factor authenthicatie. Voor een transfer mogelijk is krijg ik een sms code en moet ik via email nog eens toestemming gen. Dus twee verschillende passworden + sms code. Nou maar hopen dat Bitfinex geen mt goxje doet voor ik mijn funds weg heb. Die hoge bitcoin prijzen maken mij soms flink nerveus want nu kan ik "potentieel" een stuk meer kwijt raken. (of beter gezegd, winst kwijtraken).
Hardwarewallet gebruiken. Als r gehandeld moet worden gepast aantal naar exchange sturen.
Zeker als je je coins vooral in storage hebt is er geen reden om ze op een exchange of webwallet te hebben. Als je wat meer exotische coins hebt die een hwwallet niet ondersteund verspreid ik die over webwallet en verschillende exchanges als t grotere bedragen zijn.

Ledger nano s kost 7 tientjes. Kleine investering.
Ik heb een hardware wallet en ook cold storage maar ik heb ooit een account gehad bij blockchain.net en vele andere websites waar je regelmatig phising mails voor krijgt.
Ik word ook doodgegooid met reclame voor de phisingvariant. Slack channels, per mail, ga zo maar door.

Wat mij meer bevreemd is dat de "onderzoeker" computervredebreuk heeft gepleegd en dat niemand dat hier aangeeft.
Je lijkt ff te vergeten dat de meeste mensen niet in het wereldje zitten en waarvoor dit gewoon nieuws is :?

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*