インターネット上で最大の暗号通貨取引所の1つであるBinanceは、巧妙に細工されたフィッシングキャンペーンが発生している事を公表した。
フィッシングを行なったハッカーは、何千人ものユーザーアカウントがBitcoinを売り出し、Viacoin(VIA)というAltcoinを購入したのだ。
その売買は3月7日、UTC(協定世界時)14時58分-14時59分に発生した。
一見するとBinanceがハッキング被害に遭ったように見えた為、ユーザーの多くはTwitterやRedditなどのソーシャルメディアに以下の様にコメント。
偽のBinance URL
実は、これはハッキングでは無く、巧妙に緻密に用意されたフィッシングキャンペーンであった。
Binanceチームが公表した昨日の攻撃の準備のためのインシデントレポートによれば、ハッカーはBinanceのユーザーアカウントの認証情報を収集するために、過去2か月間にフィッシングキャンペーンを実施。
ハッカーは、”binance.com”とパッと見ただけでは区別の付かないドメイン”bịnạnce.com”を取得したのである。
目を凝らして見ると、「i」と「a」の文字の下に小さなドットがある。これは、Latin-lookalike Unicode文字で書かれている。
(ブラウザ上で表示されたbịnạnce.com。BleepingComputerより引用。)
1月上旬頃から始まったキャンペーン
1月上旬頃からフィッシングキャンペーンが開始されたが、Binanceチームは、キャンペーンがピークに達した2月22日頃に、操作が増えたという証拠を発見したという。
Binanceはこのフィッシング詐欺行為を追跡した。
フィッシング詐欺のページは、Binanceのトップページと全く同じように作成されており、ユーザーの認証情報を受け取った後は、Binanceログインページにすぐにリダイレクトする。
実は、このような操作だった為、Binance開発者が検出した参照ログにフォレンジックトレイルが残っていたのである。
同社のCEOは、昨日TwitterでこれらのログのスクリーンショットをTwitterで共有。
ハッカーはアカウントにアクセスしAPIキーを生成
一般的な仮想通貨口座ハッキングだと、盗み出したアカウントにログインした後は、ウォレットの中身を全て送金してを空にする。
しかし、ハッカーはアカウントごとに「取引APIキー」を作成したのである。
APIキーの準備が終わったハッカーたちは、昨日遂にメインの攻撃を開始したのだ。
ハッカー達はまず、APIキーを使用してBitcoinを譲渡したBinanceアカウントで取引を自動化し、ハッカーが事前に作成した他のBinanceアカウント31個から、自動的にViacoinを購入した。
しかしハッカー達が行なった「2分以内に異常な量のBitcoin-Viacoinの売り注文」としてBinanceプラットフォーム上のリスクマネジメントシステムに検知されてしまった。
お金を失ったのは、ハッカーの方だった
自らが行なった攻撃が不成功に終わった事を悟ったハッカーは、31個のBinanceアカウントにあるVIAを現金化しようとしたが、Binanceはそれらのアカウントにおける引き出し操作を無効化した。
さらにその後の調査では、BinanceがハッカーがAPIキーを作成したとされる31の口座を全て特定し、取引を取り消し、ハッカーが口座に入金した元のViacoinの資金を没収した。
したがってハッカーは、今回のフィッシングキャンペーンからの売買によって、攻撃に先立ち予め用意していたVIAコインを全て失ってしまったのだ。
尚、彼らが失った金額は現在不明とされている。