Phishingové kampaně jsou tradičně šířené hlavně prostřednictvím e-mailů, ale postupně se objevuje nový trend. Několik kyberzločineckých skupin zneužívá klíčová slova a při vyhledávání zobrazí v Googlu škodlivé reklamy související s kryptopeněženkami.

Jak podvod funguje:

1. Podvodník využije reklamu Google, která se zobrazí jako první při vyhledávání dotazů souvisejících s kryptopeněženkami.
2. Oběť klikne na škodlivý odkaz v Google Ads.
3. Uživatel je přesměrován na phishingovou stránku, která vypadá stejně jako originální stránka peněženky.
4. Falešná webová stránka se pokusí z uživatele, který již peněženku má, vylákat přístupovou frázi, a pro nově vytvořené peněženky nabídne novou bezpečnostní frázi.
5. V obou případech podvodník získá přístup k peněžence a může pokračovat v krádeži kryptoměn.

Příklad podvodů

U domény phantom.app zaznamenal výzkumný tým phishingové varianty jako phanton.app nebo phantonn.app, případně různé přípony jako .pw a podobně.

Phishingová reklama na peněženku Phantom

Podvodná reklama Google napodobující MetaMask

Příklad podvodné stránky Phantom

 
Ukázka originální stránky Phantom

Výzkumný tým Check Point Research objevil 11 napadených účtů, na každém bylo od 1 do 10 tisíc dolarů. Podvodníci podle všeho už ale před odhalením část prostředků vybrali. Na základě dalších analýz a diskuzí na Redditu, kde se ke krádežím vyjadřovaly oběti, Check Point odhaduje, že během víkendu bylo odcizeno přes 500 tisíc dolarů.

„Během několika málo dní byly ukradené kryptoměny za stovky tisíc dolarů. Odhadujeme, že jen během jednoho víkendu bylo ukradeno přes 500 tisíc dolarů v kryptoměnách. Stojíme na počátku nového trendu, kdy budou kyberzločinci místo tradičního e-mailového phishingu využívat k útokům na kryptopeněženky vyhledávač Google a na něm vhodně umístěné reklamy. Každá podvodná reklama měla velmi pečlivě zvolená sdělení a klíčová slova, aby ve výsledcích vyhledávání vynikla. Phishingové stránky kopírovaly a věrohodně napodobovaly originální peněženky. A co je nejvíce znepokojující, o klíčová slova v Google Ads se perou různé skupiny kyberzločinců, což dokazuje úspěch těchto nových phishingových kampaní. Kryptokomunitě doporučujeme raději si vždy dvakrát zkontrolujte URL adresu a neklikejte na reklamy Google související s kryptopeněženkami,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.

Jak se chránit:

1. Ověřte si URL adresu. Bezpečnostní fráze by mělo vytvářet pouze rozšíření, takže se vždy podívejte na URL adresu, zda se jedná o rozšíření nebo webovou stránku.
2. Hledejte ikonu rozšíření. Rozšíření bude obsahovat ikonu rozšíření a chrome-extension adresu:
3. Nikdy neprozrazujte svou přístupovou frázi. Uživatelé by nikdy neměli sdělovat svou bezpečnostní frázi a nikdo by ji po nich neměl chtít. Ta bude znovu použita pouze při instalaci nové peněženky.
4. Přeskočte reklamy. Pokud hledáte peněženky nebo platformy pro výměnu a obchodování s kryptoměnami, vždy se podívejte na první webovou stránku ve vyhledávání a ne na reklamu, protože ty vás mohou dovést až k útočníkům.
5. Zkontrolujte si URL adresu. Dvakrát měř, jednou řež, URL adresu si vždy ověřte raději dvakrát a v ideálním případě ji zadávejte ručně