钓鱼网站出没 | 攻击者冒充合法网站窃取比特币

这两天，新出现了一个名为“Privnotes.com”的钓鱼网站，冒充“Privnotes.com”对用户进行攻击。 当用户通过该钓鱼网站发送任何包含比特币地址的消息时，该地址将被攻击者替换，以便消息的发送者和接收者看到一个不同的地址。 Privnote是一个来自乌拉圭的网站，提供在线免费的纸条发送服务，发送的纸条阅读后会自动销毁。 无需注册即可直接使用，支持包括简体中文在内的多种语言。 Privnote 使用全 https 加密浏览，确保您的消息安全。

窃取过程

在这起可能被称为“抢注”和“网络钓鱼”的案件中，据报道，攻击者创建了一个网站，模仿合法的安全笔记共享服务 privnote.com 来窃取比特币。 提供自毁粘贴的合法网站 privnote.com 的创建者担心有人会创建该网站的假冒版本以诱使用户使用它。

今年早些时候，攻击者开始伪装成 Privnote.com，欺骗该服务的许多用户。

合法的 Privnote.com 网站提供发送加密和自毁笔记的能力，这些笔记可以与其他用户共享。

假网站的名称和外观与原网站极其相似，只是假网站会在谷歌搜索中加入自己的广告，使其搜索结果超过原网站的搜索结果。

这意味着每次用户搜索“privnote”时，Google 都会首先显示 Privnotes.com（假冒网站）的广告。

合法的 Privnote.com 服务会加密所有自毁粘贴，使信息无法更改，甚至网站本身也无法读取。

然而比特币网址链接，Privnote.com 的开发人员发现，这些造假者不仅没有实施加密，而且还在做一些邪恶的事情。

通过修改粘贴地址窃取比特币

在安全专家 Allison Nixon 的帮助下，我们发现 Privnotes.com 被设置为窃取通过其平台发送的加密货币支付请求。

当粘贴的内容包含比特币地址时，它将比特币地址更改为攻击者控制的地址，以窃取加密货币。

此外，为避免被发现，修改后的比特币地址的前四个字符与原始粘贴地址相同。

此外，这种攻击很难被发现，对于最终用户来说，如果访问粘贴的IP地址与创建者的IP地址不同，网站只会修改比特币的地址。

然而，通过使用 VPN 和个人隐身会话（以防止通过 cookie 进行跟踪）的 BleepingComputer 测试，该网站似乎暂时收回了其恶意行为。 在我们最近的测试中，比特币地址保持不变。 恶意软件研究技术网（BleepingComputer）是国外一个专注于技术研究的计算机安全站点。 它主要研究互联网中的病毒、勒索软件和恶意软件。 发布安全信息和评估数据报告，解决用户电脑中毒后的修复问题。

例如，我们发送一条包含比特币地址“3j98t1wpez73cnmqviecrnyiwrnqrhwonly”的消息。

在另一台计算机上，收件人也在另一个 IP 地址上收到了相同的比特币地址。

从挂锁图标可以明显看出，虽然这两个网站都提供使用 SSL/TLS 的“安全连接”，但 Bleeping Computer 注意到他们的证书之间存在明显差异。 Privnotes.com 冒名顶替者使用的是 Let's Encrypt 的免费证书。 但是，使用 Let's Encrypt 证书并不会自动表明网站是恶意的。

然而，Let's Encrypt 的免费性质和被现代网络浏览器识别的高机会使其成为骗子建立钓鱼网站的绝佳选择。 2017 年 1 月 1 日至 3 月 31 日期间，Netcraft 使用有效的 SSL 证书阻止了超过 47,500 次网络钓鱼攻击。 其中，19700个站点是全站屏蔽，而不是屏蔽特定的子目录。 在被完全封锁的网站中，61% 使用了 Let's Encrypt 颁发的证书，36% 使用了 Comodo 颁发的证书。 3 月比特币网址链接，Let's Encrypt 将因其域验证和证书颁发软件中的错误而撤销近 300 万个证书。 几天前，Let's Encrypt 已向受影响的客户发送了一封电子邮件，以便他们及时更新。 由于事件的突然性，Let's encrypt 只向用户发送了带有联系方式的邮件通知，并且从通知到撤销的更新时间不到 24 小时，这可能意味着数百万人依赖这些证书来保护敏感数据流网站和机器身份可能被识别为不安全或不可用，从而造成直接的经济损失。

复杂的欺骗提醒用户和网站创建者，当他们以电子方式共享敏感信息时，没有什么能保证完全隐私。 在这种情况下，用户甚至可能不会发现他们所在的 Privenotes 网站是假的。

该事件还提醒网站所有者在其他人“抢注”类似域名时开始注意。

虽然域名抢注可能会被滥用，但当原域名所有者注意自己的域名抢注时，还是可以有效防止钓鱼攻击的发生。 为了保护用户，各大银行和金融服务机构都提前预注册了相似的域名。