Talos, il team di intelligence di Cisco, ha rivelato che il conglomerato tecnologico Cisco e la Polizia Postale ucraina hanno portato alla luce un'organizzazione ucraina di truffe informatiche legate al Bitcoin (BTC) che, in un periodo di appena tre anni, ha portato a termine di furto di oltre 50 milioni di dollari.
Talos è stata inizialmente avvertita della minaccia di phishing il 24 febbraio 2017, quando COINHOARDER, uno schema di phishing con base in Ucraina, ha iniziato ad utilizzare la pubblicità di Google per prendere di mira il popolare servizio di portafogli blockchain.info, indirizzando però le vittime su domini malevoli e generando oltre 200.000 query di ricerca.
Questi annunci Google fittizi avrebbero cercato di ingannare gli utenti del vero wallet blockchain.info utilizzando nomi di domini molto simili all'originale, come "blockchein.info". Anche la grafica interna ai siti falsi era realizzata per farli sembrare autentici in ogni aspetto.
Come riportato da Talos, COINHOARDER ha reso i suoi siti falsi sempre più sofisticati, aggiungendo nel tempo finti certificati SSL ed utilizzando “typosquatting”, “brand spoofing”, e attacchi omografici.
Talos ha rilevato che gli attacchi avevano come obiettivo principale specifiche aree geografiche dove l'inglese non è la lingua principale, come la Nigeria ed il Ghana, caratterizzate anche da una scarsa stabilità delle valute locali. Ciò rendeva gli attacchi più efficienti a causa delle difficoltà delle persone del luogo di riconoscere facilmente le differenze nei domini e nei certificati.
La collaborazione tra Cisco e la Polizia Postale ucraina ha portato all'identificazione dei wallet BTC dei criminali. Talos ha dichiarato che i soli furti avvenuti durante le indagini, da settembre a dicembre 2017, corrispondevano a "circa 10 milioni di dollari".
Dopo aver scoperto questo sistema di phishing su larga scala, Cisco ha iniziato ad indicare i domini utilizzati dai criminali come sospetti, sfruttando inoltre le richieste DNS per identificare e bloccare altri domini aperti dai medesimi individui che hanno registrato il sito di partenza.
Talos conclude il rapporto con la lista degli indirizzi IP collegati all'attacco, oltre ad indicare alcune misure destinate ai clienti Cisco per proteggersi da minacce simili.
La pratica del phishing è diventata recentemente molto più frequente anche su Twitter, dove gli attaccanti creano account fittizi i cui nomi si avvicinano molto a quelli di personaggi noti nel settore, come Charlie Lee o Vitalik Buterin, promuovendo spesso falsi giveaway di criptovaluta.