Исследователь безопасности взломал сайт мошенников Binance, чтобы найти хакеров

Источник · Перевод автора

За шесть часов пути через небезопасный сервер исследователь безопасности Гарри Денли (Harry Denley) смог реконструировать — и, очевидно, закрыть — умную фишинговую атаку, нацеленную на пользователей крипто-биржи Binance.

Его Medium-пост подробно описывает деятельность на фишинговом сайте — logins-binance.com12754825.ml, где собирались логины и двухфакторные коды от запутанных пользователей.

Сервер представил то, что выглядело как стандартный логин Binance, и пользователь вводил свои учетные данные, а затем был вынужден ждать, предположительно, пока хакеры входили в систему на их стороне.

К счастью, сервер был широко открыт, и Денли смог найти инструменты, журналы и даже адреса электронной почты для хакеров.

Джеремия О’Коннор (Jeremiah O’Connor) (исследователь безопасности в Cisco) переправил мне домен, который был фишинг для входа в систему Binance — logins-binance.com12754825.ml.

В этом домене есть набор фишинга, отличающийся от предыдущих, которые мы видели, поскольку он меняет способ входа пользователя для сбора личной информации, которая впоследствии будет использоваться в методах социальной инженерии — этот сервер не связывается с доменом Binance.

Кодекс также отправлял электронные письма различным плохим актерам. Домены, которые он обнаружил, включая бессмысленный com12754825.ml, похоже, были закрыты, а электронные письма на встроенные адреса остались без ответа. Как мы видим, безопасность почти на 90% заключается в том, чтобы убедиться, что экраны входа в систему и URL-адреса выглядят правильно, а остальное, похоже, удача.

Денли — директор по безопасности на MyCrypto.com, и он в последний раз сообщал о массивной дыре в генераторе бумажных кошельков с открытым исходным кодом.