The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Фишинг-атака на платёжную систему Trezor с использованием BPG"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Фишинг-атака на платёжную систему Trezor с использованием BPG"  +/
Сообщение от opennews (??), 02-Июл-18, 11:23 
Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.

Судя по опубликованной разработчиками Trezor информации, все признаки указывают на то, что как и при проведении апрельской атаки на MyEtherWallet, для организации фишинга использовалась подстановка фиктивного маршрута в BGP, благодаря которой удалось перенаправить трафик подсетей с DNS-сервеами Trezor на полконтрльный атакующим сервер, на котором была организована MiTM-атака по подмене ответов DNS.

В ответ на попытки определения имени хоста wallet.trezor.io пользователям, работающим через провайдеров, которых затронуло изменение маршрутизации, выдавался IP-адрес клона сайта Trezor Wallet, на котором при попытке входа выводилось сообщение о повреждении данных в хранилище с предложением ввести последовательность для восстановления доступа к кошельку. В случае ввода кода, злоумышленники получали полный контроль за ключами к криптовалютам, размещённым в хранилище Trezor (wallet.trezor.io предоставляет web-интерфейс для доступа к подключенному к системе пользователя аппаратному хранилищу ключей).

Атака была зафиксирована в выходные, после того как от пользователей стали поступать сообщения о применении некорректного SSL-сертификата на сайте wallet.trezor.io (атакующие использовали самоподписанный сертификат, для которого выдавалось предупреждение в браузере). Информации о размере нанесённого в ходе атаки ущерба пока нет, анализ инцидента ещё не завершён и окончательно метод подмены результатов обращения к DNS пока не ясен (наиболее вероятным называется подстановка маршрутов BGP, но никакие деталей и подтверждений от сервисов мониторинга BGP пока нет).


URL: https://www.reddit.com/r/TREZOR/comments/8vauiv/psa_phishing.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48889

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от Анонимemail (1), 02-Июл-18, 11:23 
Объясните мне дубине как такое реализуется?
Если у меня есть свой IP пул, AS, и стыки с другими AS, то я у себя анонсирую IPшники этого сервиса, у соседей перестраивается таблица BPG и трафик идет ко мне?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от имя (?), 02-Июл-18, 11:46 
да, что-то типа такого
лучше почитай https://www.opennet.ru/opennews/art.shtml?num=48494
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +5 +/
Сообщение от Аноним (11), 02-Июл-18, 11:58 
Да, так. Ещё может быть атака на BGP-сессию между маршрутизаторами. По хорошему все должны настраивать BGP фильтры строго по whois и вырезая /25+ вдобавок. А так же настраивать IPSEC между маршрутизаторами. В таком случае ни одна из атак не пройдёт.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от Аноним (29), 02-Июл-18, 19:43 
> А так же настраивать IPSEC между маршрутизаторами

Ишь, чё захотел...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

38. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от админ локалхоста (?), 04-Июл-18, 14:45 
он имел ввиду, наверное, control-plane трафик. Так то ничего необычного, то же OSPFv3 использует IPSEC вместо собственног велосипеда для аутентификации, что есть правильно. в bgp есть встроенный механизм PSK-аутентификации сессии
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

2. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +3 +/
Сообщение от П (?), 02-Июл-18, 11:24 
Видимо не успели выдать валидный сертификат lets encrypt. и Тогда бы никто не заметил, о невалидном сайте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  –7 +/
Сообщение от Аноним (-), 02-Июл-18, 11:29 
Два сертификата на одно доменное имя не выдают.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +3 +/
Сообщение от Аноним (5), 02-Июл-18, 11:30 
Выдают, лично получал и с Let's Encrypt, и со StartSSL.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Аноним (-), 02-Июл-18, 11:39 
На разные поддомены?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от Аноним (5), 02-Июл-18, 12:26 
На один и тот же.

Сегодня я как раз собирался обновлять сертификаты Let's Encrypt, попробую из интереса их получить, но не устанавливать на сервер, и точно посмотреть, что будет со старыми сертификатами (теоретически можно было бы отозвать старые сертификаты, но вроде бы не отзывают)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от Аноним (5), 02-Июл-18, 15:13 
Обновил, десять минут - полёт нормальный, браузеры признают оба сертификата (и старый, и новый)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

35. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от Аноним (5), 03-Июл-18, 11:50 
Почти сутки - полёт всё ещё нормальный, старый сертификат продолжает успешно приниматься браузерами.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

42. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от некропостер (?), 31-Июл-18, 22:26 
Браузер с дополнением Certificate Patrol ( https://addons.mozilla.org/firefox/addon/certificate-patrol/ ) переспрашивает при каждой смене сертификата. Например, у Википедии не менее 2 сертификатов, и это дополнение хорошо даёт это понять.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

16. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Аноним (16), 02-Июл-18, 14:07 
Нет, выдают и на те же самые.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

24. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от dep (?), 02-Июл-18, 17:09 
Так а почему не можно два получить, в чем здесь нарушение?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от анон (?), 04-Июл-18, 05:14 
с чего вдруг. Цепочка доверия сертификатов не означает что кто-то должен контролировать что у домена должен быть только один сертификат. Вы можете иметь несколько сертификатов вполне легально для одно домена.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +2 +/
Сообщение от Аноним (4), 02-Июл-18, 11:30 
При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается.
Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +2 +/
Сообщение от Vitaliy Blatsemail (?), 02-Июл-18, 11:56 
> При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается.
> Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте.

И не нужно. Достаточно DNS-сервера к которому обращается LE для резолвинга.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Аноним (-), 02-Июл-18, 11:40 
На кого эта атака расчитана? На пользователей десятки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Vitaliy Blatsemail (?), 02-Июл-18, 11:57 
> На кого эта атака расчитана? На пользователей десятки?

Да, к сожалению расчитывается всегда большинство. Линуксоидам с их 1.5% бояться как всегда нечего, эффект Неуловимого Джо в действии :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +3 +/
Сообщение от sabakka (?), 02-Июл-18, 13:25 
пользователей пятёрочки.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Crazy Alex (ok), 02-Июл-18, 15:14 
Да уж... С самоподписанным-то сертификатом - забавно, да и только.

Для тех, кто не в курсе:

1) Trezor - это хардварный кошель для криптовалют, такими пользуются те, кто безопасностью парится всерьёз. Очень сомнительно, что такие товарищи поведутся на самоподписанный сертификат.

2) То, что предлагалось сделать (" ввести последовательность для восстановления доступа к кошельку") - это адски форсмажорная штука, которая вообще не делается без десятикратных проверок. Даже без браузерной ругани подобное предложение вылилось бы в разбирательства "что произошло", а не в бездумный ввод кода.

Как итог - это не атака, а какая-то странная пародия.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

34. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +1 +/
Сообщение от mandala (ok), 03-Июл-18, 07:41 
Доверять ключи какому то железу, которое клепает чужой дядя? Ты в своем уме?

А если серьезно: значительная часть пользователей приобрела эту хрень по совету/из-за рекламы, не более, и ни черта не шарят в технологиях. так что атака хоть и палевная, но не лишена смысла.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Фишинг-атака на платёжную систему Trezor с использованием BP..."  +/
Сообщение от Аноним (36), 03-Июл-18, 14:22 
Была даже история про их конкурентов - ledger. Там левые перекупы на ebay подменяли инструкции и предлагали проинициализировать девайс с их заранее сгенерированным сидом. И ничего, люди велись.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

13. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от Аноним (13), 02-Июл-18, 13:01 
Ладно хоть не с BFG2000
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +1 +/
Сообщение от Аноне (?), 02-Июл-18, 20:06 
9000
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от xm (ok), 02-Июл-18, 15:10 
Бег по граблям. Но поддержку DANE внедрять по-прежнему никто в браузеры не планирует... Ok, чё.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  –2 +/
Сообщение от Crazy Alex (ok), 02-Июл-18, 15:43 
В данном случае тупой запрет самоподписанных сертификатов принёс бы гораздо больше пользы - как, сосбтвенно, для всех случаев, не связанных с домашними сервачками или разработкой. Ну и планируемая letsencrypt проверка из нескольких точек при выдаче сертификата. При этом вообще никакие изменения в инфраструктуре не нужны.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от AnonPlus (?), 02-Июл-18, 16:20 
Нереально, дофигаща людей, которые считают, что самоподписанные сертификаты это свобода, letsencrypt это коварный проект ZOG по прослушиванию трафика, а таблеточки, выписанные психиатром для их больной головушки пить не стоит.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +1 +/
Сообщение от Ivan_83 (ok), 02-Июл-18, 16:43 
Если бы этот самый енкрипт хотя бы в европе был, а то как обычно всё в США.
А StartSSL угробили.
Если вас не смущает что все IT сервисы в США и что конкурентов из других локаций мочат - вероятно вы мало думаете о следствиях и последствиях, хотя бы в перспективе 5-10 лет.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +1 +/
Сообщение от Crazy Alex (ok), 02-Июл-18, 17:56 
Один нюанс - к данному случаю это никакого отношения не имеет.

А так - нет, не смущает. Для подпольщины есть Tor, i2p, retroshare и куча всего остального. Для дел же легальных и "простого потребителя" никаких проблем в этом нет.

А, ну и ещё я не страдаю паранойей по поводу США.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от Ivan_83 (ok), 02-Июл-18, 20:34 
Расскажи это крымчанам, которые внезапно остались вообще без всех сервисов пендостана.
Речь не про отдельный сайт/сервис а про политический рычаг влияния, у нас шутят про отключение газа а они выключили инет.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от Аноним (-), 02-Июл-18, 22:28 
Отвалились только зонды. Я за блокировку этих сервисов для всего мира, кроме США.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

23. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +1 +/
Сообщение от arisu (ok), 02-Июл-18, 16:52 
да и вообще адресную строку убрать — давно уже экспериментируют же. но как-то очень несмело. зачем эта вот ерунда с «куда хочешь — туда и ходишь»? очевидно же, что там везде мошенники сидят! неча шастать, ходи куда положено, а больше тебе никуда не надо.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +1 +/
Сообщение от Crazy Alex (ok), 02-Июл-18, 18:01 
Это звучит не так иронично, как тебе кажется. Для "обычного пользователя" запросто можно убирать - у него один хрен всё с поисковика начинается. А на каждый "чистый" самоподписанный сайт хомяк нарвётся минимум на сотню малварных.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +3 +/
Сообщение от arisu (ok), 02-Июл-18, 18:10 
тут есть, правда, нюанс. сначала «защитим детей от порнографии», а потом роскомцензура. потому что запреты вместо обучения — они только так и работают.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +1 +/
Сообщение от Аноним (31), 02-Июл-18, 20:11 
учиться не модно
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +/
Сообщение от Гентушник (ok), 04-Июл-18, 16:55 
>  у него один хрен всё с поисковика начинается

Плюсую. Мильён раз видел как обычные пользователи заходят на почту набирая в яндекс/мейлсру-поиске слово "почта", на строку с адресом мало кто смотрит, а пользуются ей вообще единицы.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Фишинг-атака на платёжную систему Trezor, вероятно..."  +/
Сообщение от arisu (ok), 04-Июл-18, 17:03 
а ещё «обычный пользователь» не пишет на сишечке. поэтому сишечку надо разрешать ставить только после того, как ты глубоко в системе поменял 100500 флажков на «да, я согласен».

самое забавное то, что когда это случится — ни перед одним whistleblower'ом никто даже не подумает хотя бы извиниться.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

28. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от xm (ok), 02-Июл-18, 18:28 
В данном, возможно, бы и хватило.
А про будущее надо подумать бы уже теперь (вчера).
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Фишинг-атака на платёжную систему Trezor, вероятно проведённ..."  +/
Сообщение от Аноним (41), 05-Июл-18, 22:58 
>тупой запрет самоподписанных сертификатов

Это тоталитаризм

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor