Un chercheur en sécurité démantèle un site frauduleux de Binance pour trouver les pirates informatiques

Au cours d'une randonnée de six heures sur un serveur non sécurisé, le chercheur en sécurité Harry Denley a pu reconstituer - et apparemment arrêter - une attaque de phishing intelligente ciblant les utilisateurs de la bourse Crypto Binance.

Son Message moyenCe rapport détaille l'activité d'un site de phishing (logins-binance.com12754825.ml) qui collectait les identifiants et les codes à deux facteurs d'utilisateurs mal informés. Le serveur présentait ce qui ressemblait à un identifiant Binance standard : l'utilisateur saisissait ses identifiants, puis était contraint d'attendre, vraisemblablement pendant que les pirates se connectaient de leur côté.

Heureusement, le serveur était grand ouvert et Denley a pu trouver des outils, des journaux et même des adresses e-mail pour les pirates.

Jeremiah O’Connor (chercheur en sécurité chez Cisco) m’a redirigé vers un domaine qui hameçonnait les identifiants Binance : logins-binance.com12754825.ml.

Ce domaine utilise un kit d’hameçonnage différent des précédents : il modifie le parcours de connexion de l’utilisateur pour collecter des informations personnelles et les utiliser ensuite dans des méthodes d’ingénierie sociale. Ce serveur ne communique pas avec le domaine Binance.

Le code envoyait également des courriels à divers acteurs malveillants. Les domaines qu'il a trouvés, dont le ONE absurde com12754825.ml, semblent avoir été fermés et les courriels adressés aux adresses intégrées sont restés sans réponse. Comme on le voit, la sécurité consiste à près de 90 % à s'assurer que les écrans de connexion et les URL s'affichent correctement, le reste, semble-t-il, étant une question de chance.

Denley est directeur de la sécurité chezMyCrypto.comet il a récemment fait état d'un trou massif dansun générateur de portefeuille papier open source.

Image d'en-tête via CoinDesk Archive