Coinbaseユーザーがフィッシング詐欺の危険にさらされている
仮想通貨の価値の上昇は必然的に犯罪者の目を引き付け、仮想通貨取引所における仮想通貨の集中は注目を集めており、米国最大の仮想通貨取引所であるCoinbaseで、ユーザーに対する多数のフィッシングキャンペーンを研究者らが検出した事が分かった。
Coinbaseには、100カ国以上に5,600万人以上の検証済みユーザーがおり、取引量は約3,350億ドル(約36兆8,500億円)で、プラットフォーム上の資産は2,230億ドル(約24兆5,300億円)に上る。
フィッシング対策会社INKY(インキー)の研究者は、Coinbaseユーザーを対象とした現在のフィッシングキャンペーンを数十件発見した事をブログで明かした。仮想通貨を盗み取る目的でCoinbaseのログイン資格情報を盗むように設計されたものと、財務情報および個人情報について説明している。
収集された情報は犯罪者側へ送られる
Coinbaseを標的にしたフィッシングキャンペーンでは、Coinbaseロゴが書かれたメールを使用していることが分かっている。
コンテンツには詐欺である事を示すものはほとんどない。メールに記載されている文章には、スペルミスやタイプミスもなく、乗っ取られたアカウントから送信されているとのこと。主な内容として、「不正なアクティビティを検出し、アカウントをブロックしました」と「アカウントを無効にするリクエストを処理しました」などと記載されている。アカウントを再度有効にするには、ボタンをクリックしてクレデンシャルを再入力する必要があり、ターゲットがだまされて、提示されたボタンをクリックすると、実際のCoinbaseログインページの完全なコピーに送信されるという。この偽のページは、ドイツの屋根改修会社のウェブサイトでホストされており、ウェブサイトを危険にさらし、それらを使用して孤立したページの素材をホストおよび非表示にすることは、犯罪者の間で一般的な方法である。
この場合、ページが偽であるという判断材料としては、ブラウザーのリンクアドレスバーに表示されるURLが、「coinbase.com / signin」ではなく「bedachungen-bauer.de」のみである。この偽のページに入力された資格情報はすべてすぐに収集され、犯罪者に送信される。
Coinbase側の対応策とは
Coinbase側の対応策は、ほとんどの機関と同じように、ユーザーに2要素認証を採用するように促している。
しかし、INKY側は2要素認証だけでは不十分かもしれないと警告している。このキャンペーンでは使用されていないものの、犯罪者は中間者攻撃(man-in-the-middle攻撃)(※1)フレームワーク(Evilginxなど)を使用し、フィッシングクライアントに送信された2FAトークンをキャプチャできる。Evilginxは、Nginx HTTPサーバーを使用して、実際のウェブサイトをフィッシング被害者にプロキシし、WebサイトがブラウザーCookieとしてクライアントに送信する可能性のある2FAトークンをキャプチャーするとのこと。
“通信者同士の間に第三者が勝手に割り込むタイプの攻撃”で、二者間の通信をソフトウェアなどの不正な手段を用いて傍受、盗聴して内容を取得する攻撃を言う。
