Esta es una breve exploración de un ataque que surgió una noche y se informó en Twitter contra un usuario de la plataforma de criptomonedas Luno. Usamos la información que obtuvimos a través del kit de phishing para descubrir varios otros ataques contra esta plataforma. Descargo de responsabilidad: actualmente no tenemos ninguna afiliación con Luno.

Detección de phishing

En el mejor de los casos, espera encontrar ataques de phishing contra su base de usuarios incluso antes de que se inicien. En caso de que no lo consigas, tus usuarios se convertirán en tu primera línea de defensa y, si están bien informados sobre el phishing, es de esperar que te lo informen. En este caso, un usuario de Twitter con conocimientos tecnológicos informó del ataque:


Phishing basado en SMS

En este caso, se produjo a través de un ataque de phishing basado en SMS. A menudo, los atacantes obtienen detalles de las víctimas potenciales al extraer números de foros relacionados con criptografía o al comprometer a un proveedor en la cadena de suministro, por ejemplo, una empresa de marketing que puede requerir números de correo electrónico y móviles de los usuarios para enviar campañas de marketing. Por lo tanto, son un objetivo principal para los atacantes.

El ataque

Después de seguir el enlace enviado en el SMS, lleva al usuario a esta página:


Un clon bastante estándar del sitio web Luno.com


** ¡Tenga en cuenta la URL! ** Nada especial aquí: un clon estándar de la página de inicio de sesión de Luno. Normalmente, los atacantes utilizan herramientas estándar como HTTrack para crearlas y luego realizan un trabajo de backend para recopilar direcciones de correo electrónico y contraseñas para usarlas más tarde.


El envío de credenciales las envía al servidor backend

Después de enviar las credenciales al sitio web de phishing, la víctima es redirigida al sitio web ** legítimo ** de luno. Esta es una táctica común que utilizan los estafadores para asegurarse de que los usuarios no se den cuenta de que han sido objeto de suplantación de identidad.


El envío de credenciales las envía al servidor backend

Después de enviar las credenciales al sitio web de phishing, la víctima es redirigida al sitio web ** legítimo ** de luno. Esta es una táctica común que utilizan los estafadores para asegurarse de que los usuarios no se den cuenta de que han sido objeto de suplantación de identidad.

El envío de credenciales las envía al servidor backend

Después de enviar las credenciales al sitio web de phishing, la víctima es redirigida al sitio web ** legítimo ** de luno. Esta es una táctica común que utilizan los estafadores para asegurarse de que los usuarios no se den cuenta de que han sido objeto de suplantación de identidad.

La parte final del flujo de trabajo, una redirección al sitio legítimo.

Los usuarios tienden a asumir que ingresaron incorrectamente su contraseña o que hubo algún tipo de error con el proceso de inicio de sesión. El usuario intentó iniciar sesión de nuevo después de ser redirigido al sitio legítimo y ¡listo! Funciona. Piensan que nada está mal y continúan con normalidad.

Toma de huellas digitales y expansión

En PhishFort tenemos una serie de sistemas y procesos internos que nos permiten identificar e identificar otros sitios web que alojan el mismo phishingkit. Aquí es donde se puso interesante. Encontramos un par de sitios de phishing EN VIVO que no se habían visto antes o no estaban en la lista negra:


Luno.su

¡Tenga en cuenta la URL de arriba! ¡Luno [.] Su estaba vivo y listo para ser utilizado en la próxima campaña!

A continuación, otro sitio web de phishing que todavía estaba en construcción: ¡IMPRESIONANTE! Lo detectamos temprano:


Además, descubrimos una serie de sitios web que se encontraban en diferentes estados de phishing operativos, inactivos o ya confirmados.


https://luno-co[.]xyz

https://lunobtc[.]trade

https://lunobtc[.]trade/

https://luno-upgrade[.]com

https://luno-official[.]com/

https://luno-upg[.]com

https://luno-web[.]com

https://luno-official[.]com

Lista negra

Cuando encontramos ataques o los usuarios nos los informan, actuamos con rapidez. En este caso, incluimos en la lista negra todos los sitios que encontramos en MetaMask, MyEtherWallet y EtherAddressLookup, que en total protege a unos 1,5 millones de usuarios finales y no dependían de los gigantes de Internet que se mueven lentamente en la lista negra. Luego, colocamos el sitio en Navegación segura, lo que evita que los usuarios de Chrome, Firefox, Safari y Edge accedan al sitio web.

¡Gracias por leer!

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.

No se pierda Nuestras Historias