Житель США Адам Гриффин лишился почти $500 тысяч в криптовалюте после кражи его аккаунта Google. Мошенники организовали схему, которая включала звонок с номера Google, чтобы предупредить владельца якобы о взломе его учётной записи Gmail.
После этого они отправили мужчине оповещения о необходимости принять меры безопасности для электронной почты непосредственно с google.com. В конечном итоге, когда Гриффин нажал «да» в ответ на запрос этот запрос, он лишился доступа к аккаунту.
Впервые мужчине позвонили 6 мая. Некто представился представителем службы поддержки Google и сообщил, что к учётной записи Гриффина получают доступ из Германии. Когда мужчина пробил номер звонившего, выяснилось, что он принадлежит Google Assistant, службе на основе искусственного интеллекта, которая организует обзвоны.
В то же время Гриффин получил электронное письмо с адреса электронной почты google.com, предупреждающее о взломе его учётной записи Google. В сообщении содержался «идентификационный номер обращения в службу поддержки Google» и информация о представителе Google, якобы говорившем с ним по телефону. Имя звонившего и указанное в письме совпадали.
Как выяснилось позже, письмо было отправлено через Google Forms, сервис, доступный всем пользователям Google Docs. По словам Грэма Клули из tripwire.com, фишеры используют Google Forms для создания сообщения с предупреждением о безопасности, а затем изменяют настройки формы, чтобы автоматически отправлять копию на любой адрес электронной почты. Затем они присылают приглашение на заполнение формы себе.
«Итак, злоумышленник получает приглашение заполнить форму — и вводит адрес электронной почты предполагаемой жертвы, а не свой собственный. Хакеры пользуются тем фактом, что электронные письма отправляются напрямую через Google Forms (с домена google.com). Это законный домен, который повышает доверие к письму и снижает вероятность его перехвата в пути решениями по фильтрации электронной почты», — заметил Клули ещё в 2023 году.
«Представитель» Google сказал Гриффину, что получит уведомление, которое позволит ему вернуть контроль над учётной записью пользователя. Одновременно на смартфоне мужчины появилось сообщение якобы от Google с вопросом: «Это вы пытаетесь восстановить свою учётную запись?». На самом деле мошенники вызвали оповещение, просто пройдя процедуру восстановления учётной записи Google для адреса Gmail Гриффина.
«Как только я нажал “да”, то предоставил им доступ к своей почте Gmail, которая была синхронизирована с Google Photos», — рассказал мужчина.
Гриффин много лет назад использовал Google Photos для сохранения изображений секретной фразы seed, которая защищала его криптовалютный кошелёк, чем и воспользовались злоумышленники. Они смогли перевести около $450 тысяч из кошелька Exodus.
Всего через несколько минут после взлома учётной записи Gmail Гриффину позвонил некто, представившийся сотрудником Coinbase, и также сообщил ему, что кто-то в Германии пытается захватить его аккаунт.
Последующее расследование показало, что злоумышленники использовали его учётную запись Gmail, чтобы получить доступ к его аккаунту Coinbase через VPN-соединение в Калифорнии, предоставив многофакторный код из приложения Google Authenticator.
Когда воры попытались вывести криптовалюту на сумму $100 тысяч с кошелька Гриффина в Coinbase, биржа отправила ему электронное письмо, в котором говорилось, что учётная запись заблокирована, а ему придётся предоставить дополнительные документы для проверки, прежде чем выводить деньги.
Всего через несколько дней после ограбления Гриффина мошенник, выдававший себя за представителя Google, сумел украсть 45 биткоинов — примерно $4 725 000 по нынешнему курсу — у 42-летнего жителя Северной Калифорнии. Вечером 15 мая он получил сообщение от Google о проблеме безопасности учётной записи, после чего ему позвонил «представитель» компании. Мужчина подумал, что звонок был вызван его недавней регистрацией в Gemini AI от Google. Однако звонивший заявил, что его аккаунт пытаются взломать из Германии, а далее произошло то же, что и с Гриффином. Потом мужчине якобы позвонили из службы безопасности Trezor, компании, которая производит зашифрованные аппаратные устройства для безопасного хранения ключей криптовалюты в автономном режиме. Звонивший сказал, что кто-то отправил запрос в Trezor на закрытие его аккаунта, и переслал сообщение, отправленное с аккаунта Gmail мужчине, в котором содержались его имя, номер социального страхования, дата рождения, адрес, номер телефона и адрес электронной почты.
Тогда мужчина поверил, что его аккаунт Trezor действительно был взломан. Звонивший убедил его «восстановить» свой аккаунт, введя исходную фразу криптовалюты на фишинговом сайте (verify-trezor[.]io), который имитировал официальный ресурс. Почти сразу же все средства были выведены со счёта.
В итоге оба мужчины узнали голос звонившего им из интервью Джунсета, подкастера, освещающего мошенничество с криптовалютой. Неизвестный признался, что он подросток и работает в группе, которая образовалась в игре Minecraft. «Никого не арестовывают. Нет никаких последствий. У меня есть небольшие юридические побочные дела, такие как бизнес и прочее дерьмо, через которое я могу все провернуть. Если бы вы увидели меня в реальной жизни, я выглядел бы как обычный ребёнок, идущий в школу с рюкзаком и всем этим дерьмом, и вы бы никогда не подумали, что этот ребёнок ворует», — с энтузиазмом заявил он. Подросток объяснил, что они часто используют автоматизированного бота, который инициирует звонки жертвам, предупреждая, что в их аккаунте замечена подозрительная активность, и им следует нажать «1», чтобы поговорить с представителем компании. Этот процесс, объяснил он, по сути, самостоятельно выбирает людей, которые с большей вероятностью будут подвержены их схемам социальной инженерии.
Парень также поделился, что его группа совершила кражу на $1,2 млн на инвестиционной платформе биткоинов SwanBitcoin. Когда подкастер поделился этой информаций в соцсетях, генеральный директор Swan рассказал, что они смогли пресечь эту транзакцию.
Судя по всему, подростку не понравилось, что его голос транслировался по всему миру. В итоге кто-то подал претензию о нарушении авторских прав в Soundcloud, где размещалась запись подкаста с ним. В жалобе утверждалось, что запись включала песню, защищённую авторским правом, хотя в ней не было фоновой музыки. Тем не менее, Soundcloud удалил аудиофайл. Как объяснил подкастер, восстановить запись на платформе невозможно, поскольку она требует от него предоставить личные данные, в том числе адрес, чтобы передать их автору жалобы.
Когда подкастер спросил у подростка, как потенциальные жертвы могут защитить себя от таких атак, тот объяснил, что, если у жертвы не синхронизирован Google Authenticator с учётной записью Google Cloud, то мошенникам не так легко проникнуть в аккаунты на криптовалютных биржах.
По умолчанию Google Authenticator синхронизирует все одноразовые коды с учётной записью пользователя Gmail. Чтобы изменить эту настройку, нужно открыть Authenticator на мобильном устройстве, выбрать свою фотографию профиля, а затем нажать «Использовать без учётной записи» в меню. Копию одноразовых резервных кодов можно распечатать и сохранить их в безопасном месте. Также можно загрузить Google Authenticator на другое мобильное устройство. В противном случае, если отключить облачную синхронизацию, при потере единственного смартфона с приложением будет сложно восстановить доступ к учётной записи при её блокировке.
В ответ на вопросы KrebsOnSecurity Google заявила, что это была узкая фишинговая кампания, охватывающая «очень небольшую группу людей». «Мы знаем об этой узконаправленной и целенаправленной атаке и усилили нашу защиту, чтобы блокировать попытки восстановления со стороны этого злоумышленника», — отметили там, пояснив, что в реальности сотрудник Google никогда не позвонит клиенту.
Однако оба мужчины говорят, что они продолжают получать звонки «по поводу безопасности аккаунтов» от людей, выдающих себя за сотрудников Google или одной из криптовалютных платформ. «Это как будто вас вносят в какой-то список, а затем эти списки снова и снова просматриваются», — отмечают они.
Гриффин даже сделал пару записей бесед с мошенниками, в ходе которых он пытался расспрашивать их об их личной жизни. После этого ему начали поступать звонки с угрозами, а в ФБР мужчину попросили больше не разговаривать с хакерами.
Источник новости: habr.com
