Titkosított üzenetküldő oldal klónjával lopják el a felhasználók bitcoinjait

Újabb adathalász weboldalra bukkant egy kibertámadással és számítógépes biztonsággal foglalkozó portál, a KrebsOnSecurity. Egy titkosított üzenetküldő oldal felületét másolták le, így nagyon sok felhasználót megtéveszthetnek.

Privnote.com vagy privnotes.com?

A privnote.com egy ingyenes szolgáltatás, amely segítségével a felhasználók titkosított üzeneteket küldhetnek egymásnak. Ezek az üzenetek elolvasásuk után automatikusan megsemmisülnek. Az ötlet nagyon innovatív és már viszonylag sokan használják. Nemrég azonban megjelent egy hasonló oldal privnotes.com címmel, melynek neve mindössze egy S betűvel tér el az eredeti szolgáltatástól. A privnoteS viszont nem alkalmas titkosított üzenetek küldésére, helyette a felhasználók bitcoin címeit saját címükre cseréli ki az elküldött üzenetekben.

A két oldal rendkívül hasonlít egymásra, így nagyon könnyen csapdába eshetnek a gyanútlan felhasználók. Ha a Google-on rákeresünk a szolgáltatásra első helyen fizetett találatként a hamis oldal címe jön be. Ha valaki tehát nem figyel oda, gyorsan válhat kibertámadók áldozatává.

De mi is a privnote?

A privnote egy olyan teljesen legális működő, ingyenes üzenetküldő szolgáltatás, mely titkosítja a küldő és fogadó fél közötti üzenetváltást. Ha a fogadó fél elolvasta az üzenetet, az automatikusan törlésre kerül. A felhasználók közötti beszélgetést nem látja senki, még a szolgáltatást kezelő oldal sem.

A privnoteS ezzel ellentétben nem titkosítja teljes mértékben a kliensek közötti üzenetváltást. Hozzá tud férni az üzeneteket küldő felek beszélgetéseihez, és azokat még módosítani is tudja. Az eredeti privnote tulajdonosai szerint az őket koppintó oldal valójában egy adathalász felület, amely nemcsak, hogy nem képes titkosítani a felhasználók üzeneteit, hanem az azokban szereplő bitcoin tárca címeket kicseréli a saját tárca címére.

Ha valaki beírja azt az üzenetet, hogy „Várom az utalást, erre a bitcoin címre: bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq, köszönöm”, akkor a megjegyzés generálisa ikonra kattintva a bitcoin tárca címe megváltozik, de az első 4 karakter azonos marad. Tehát ha valaki nem ellenőrzi le a tárca címet, feleslegesen várja a bitcoin utalást.

Eredeti üzenet egy adott bitcoin címmel

A szkript által módosított bitcoin cím, melynek az első 4 karaktere megegyezik az eredeti cím karaktereivel

A KrebsOnSecurity több tesztet is végzett az adathalász oldalon, melyekből arra jött rá, hogy a módosító szkript nem változtatja meg az üzenet tartalmát, ha a küldő és a fogadó IP-címei megegyeznek, vagy ha több üzenetet ír valaki ugyanazzal a bitcoin címmel.

Allison Nixon biztonsági szakértő szerint „ez egy nagyon okos átverés, hiszen az üzenet elolvasása után a küldő többet nem láthatja az üzenet, mivel az törlésre kerül. Ha valaki jelszavakat és felhasználóneveket küldd el a szolgáltatás használatával, azokat is eltudják olvasni.”

Az oldal tehát számos módon visszaélhet a felhasználók bizalmas adataival. A Google keresőmotor használatakor jobb az óvatosság, hiszen számtalan esetben másolták már le a hackerek egy jól működő szolgáltatás felületét, amelyet szinte ugyanazzal a névvel láttak el, és károsítottak meg több ezer felhasználót.