Co warto wiedzieć: Visa odkrywa ciemną stronę Token Bridge

W skrócie ten artykuł:
· Z raportu Visa wynika, że ​​ugrupowania zagrażające wykorzystują nowe technologie i techniki do wdrażania schematów oszustw, szczególnie w obszarze uwierzytelniania transakcji.
· Inżynieria społeczna, narzędzia phishingowe i boty są często wykorzystywane do uzyskiwania haseł jednorazowych (OTP) od posiadaczy kart.
· Podmioty zagrażające wykorzystują luki w zabezpieczeniach Token Bridge w celu kradzieży milionów dolarów.
Visa, jeden z największych operatorów płatności na świecie, opublikował raport na temat zakłóceń związanych z oszustwami płatniczymi w ciągu ostatnich sześciu miesięcy. Z raportów wynika, że ​​ugrupowania zagrażające wykorzystują nowe technologie i techniki do realizacji schematów oszustw, szczególnie w obszarze uwierzytelniania transakcji.
Raport podkreśla również podatność Token Bridge na kradzież, co stało się głównym problemem społeczności kryptowalut.
Ustalenia Visy
Jednym z największych zagrożeń w przestrzeni konsumenckiej jest wykorzystywanie socjotechniki w celu pozyskania danych kart lub przejęcia kont. W wielu przypadkach cyberprzestępcy podają się za pracowników banku posiadacza karty i żądają poufnych informacji.
Schematy te często skutkują wyciekiem haseł jednorazowych (OTP), tokenizowanych/jednorazowych numerów PAN lub wrażliwych danych konta użytkownika, takich jak dane logowania do banku (nazwa użytkownika/hasło).
Podmioty zagrażające korzystają również z niestandardowych zestawów do phishingu, aby ułatwić ominięcie uwierzytelniania wieloskładnikowego (MFA). Te zestawy do phishingu korzystają z odwrotnych serwerów proxy, umożliwiając oszustom działanie w roli człowieka pośrodku (MiTM) pomiędzy legalnymi konsumentami a legalnymi witrynami internetowymi.
Metoda ta udostępnia konsumentom legalne strony internetowe i działa jako niewidzialny pośrednik, co zmniejsza podejrzenia konsumentów.
Aktor może następnie zbierać wszelkie informacje, które konsument wprowadza na stronie internetowej, w tym hasła jednorazowe, nazwy użytkowników, hasła i pliki cookie sesji.
Podmioty zagrażające wykorzystują Token Bridge do kradzieży milionów
Z raportu Visa wynika, że ​​w 2022 r. Token Bridge stał się preferowanym celem złodziei. W raporcie zidentyfikowano między innymi inżynierię społeczną, oszustwa reklamowe, boty i zestawy phishingowe wykorzystywane do uzyskiwania jednorazowych haseł jednorazowych od posiadaczy kart, złośliwe oprogramowanie ukierunkowane na wystawcę w celu uzyskania dostępu do danych kontaktowych klientów i ich zmieniania, a także wykorzystanie inżynierii społecznej do oszustw związanych z tokenami.
W raporcie zwrócono również uwagę na incydent, który miał miejsce pod koniec marca 2022 r., podczas którego organizacja została naruszona przez ugrupowanie zagrażające, które wykorzystało niezidentyfikowany wariant złośliwego oprogramowania do zainfekowania punktów końcowych użytkowników.
Aktor ostatecznie przesunął się w bok w środowisku ofiary i wydobył dane uwierzytelniające użytkownika administracyjnego portalu aplikacji bankowości mobilnej.
Dostęp ten służy następnie do edycji danych kontaktowych konkretnego klienta, a także do zwiększania limitów na koncie klienta. Zmienione informacje obejmowały numer urządzenia mobilnego, co umożliwiło cyberprzestępcy ominięcie uwierzytelniania za pomocą hasła jednorazowego (OTP) podczas wysyłania hasła OTP na nowe urządzenie mobilne.
Podmioty wykorzystały zwiększone limity kont i zmienione informacje o klientach, aby w krótkim czasie zarabiać na nielegalnym dostępie poprzez oszukańcze transfery środków.
Podobne taktyki, techniki i procedury (TTP) są często wykorzystywane przez podmioty do przeprowadzania ataków związanych z wypłatą bankomatów, instalowania złośliwego oprogramowania w sieciach wydawców ofiar, uzyskiwania dostępu do środowisk danych posiadaczy kart i zwiększania limitów na określoną liczbę rachunków płatniczych.
Następnie sieć mułów wykorzystuje te konta do wypłacania dużych ilości gotówki z bankomatów. Ponadto ugrupowania zagrażające stosowały podobne metody w celu przejmowania kont klientów i zmiany danych kontaktowych, co umożliwiło cyberprzestępcom ominięcie uwierzytelniania OTP podczas transakcji.
Podmioty zagrażające wykorzystują coraz bardziej wyrafinowane metody przeprowadzania oszustw, a luka w zabezpieczeniach Token Bridge stała się głównym problemem społeczności kryptowalut.