Dolandırıcılar, kripto para birimi cüzdanlarından para çalmaya çalışan kimlik avı saldırılarında, kripto kredi kuruluşu Celsius’un iflas talep aracısını taklit ediyor.
Temmuz 2022’de kripto kredi kuruluşu Celsius iflas başvurusunda bulundu ve kullanıcı hesaplarından para çekme işlemlerini dondurdu. Müşteriler o zamandan beri fonların bir kısmını geri almayı umarak şirkete karşı dava açtılar.
Geçtiğimiz birkaç gün içinde, insanlar bildirdi Celsius iflas davasının Talep Temsilcisi Stretto’dan geliyormuş gibi görünen kimlik avı e-postaları almak.
Bir alıcı, kimlik avı e-postasını, alacaklılara dondurulmuş fonlarını talep etmeleri için 7 günlük bir çıkış penceresi sunduğunu iddia eden BleepingComputer ile paylaştı.
E-posta, aşağıda gösterildiği gibi [email protected] e-posta adresini kullanan “Stretto Corporate Restructing” şirketinden olduklarını söylüyor.
Kaynak: BleepingComputer
Kimlik avı e-postası web sitesine bir bağlantı içerir evler-boğaz[.]iletişimAlıcıyı kimlik avı sitesine yönlendiren iddialar-streto[.]iletişim altında. İddialar-streto[.]com alan adı bugün tescil edilmiştir ve Seyşeller’deki bir web barındırma sağlayıcısında barındırılmaktadır.
Celsius iddialarına ilişkin meşru Stretto sitesi https://cases.stretto.com/celsius/claims/ adresinde bulunmaktadır.
Kaynak: BleepingComputer
Sayfa, ziyaretçilerden taleplerini geri çekmeleri için e-posta adreslerini girmelerini ister ve gönder düğmesine basıldığında, yüklü kripto para birimi cüzdanınızı web sitesine bağlamak için bir WalletConnect istemi açılır.
Kaynak: BleepingComputer
Bir cüzdan bağlarsanız site artık kripto adresleri, bakiyeler, faaliyetler ve işlem önerme yeteneği de dahil olmak üzere içinde depolanan tüm bilgilere erişebilecek.
Kaynak: BleepingComputer
Bu bağlantı sağlandığında, tehdit aktörleri, işlemi para yatırma olarak gizleyerek cüzdanda depolanan tüm varlıkları ve NFT’leri boşaltmaya çalışabilir.
SPF kontrollerini geçer
Bu kimlik avı kampanyası, e-postaların, bir e-postanın gönderen etki alanı için geçerli bir e-posta sunucusundan gelip gelmediğini belirleyen Gönderen Politikası Çerçevesi (SPF) kontrollerini geçmesi nedeniyle öne çıkıyor.
SPF bu kontrolü, e-postayı gönderen posta sunucusunun IP adresini, ‘Return-Path’ posta başlığında kullanılan alan adına ait DNS SPF kaydında bulunan IP adresleri listesiyle karşılaştırarak gerçekleştirir.
Bu durumda, kimlik avı e-postasının dönüş yolu ‘[email protected]’ şeklindedir ve em6462.stretto.com’un SPF kaydı şu şekildedir: v=spf1 ip4:149.72.171.199 -all. Bu SPF kaydı, 149.72.171.199 adresinden gelen tüm e-postaların geçerli kabul edilmesi ve spam olarak işaretlenmemesi gerektiği anlamına gelir.
Bu kimlik avı e-postaları, e-posta pazarlama şirketi SendGrid’e ait olan 149.72.171.199 adresinden geldiğinden, SPF kontrolünden geçiyor ve teslim edilmesine izin veriliyor.
Bu, e-postanın SPF kontrollerini geçtikten sonra başarıyla Gmail’e teslim edildiği aşağıda gösterilmektedir (bazı bilgiler çıkarılmıştır).
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=s1 header.b=xx;
spf=pass (google.com: domain of [email protected] designates 149.72.171.199 as permitted sender) smtp.mailfrom="[email protected]";
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=stretto.com
Bu kimlik avı e-postalarından birinin alıcısı, BleepingComputer’a Celsius’ta bir hesabının olmadığını ve hiçbir zaman alacaklı olarak başvurmadığını söyledi, bu da bu e-postayı almalarını garip hale getirdi.
Tehdit aktörleri muhtemelen daha önce saldırıya uğramış kripto para pazarlama hesapları aracılığıyla çalınan eski iletişim listelerini kullanıyor.
BleepingComputer, SendGrid hesaplarının bu e-postaları göndermek için ele geçirilip geçirilmediğini doğrulamak üzere Stretto’ya ulaştı ancak bir yanıt almadı.
Celsius’un iddialarıyla ilgili olduğunu iddia eden bir e-posta alırsanız lütfen bunu dikkate almayın ve meşru https://cases.stretto.com/celsius/ sitesinden vakayla ilgili yeni güncellemeleri kontrol edin.
Ne yazık ki, bu kimlik avı sitelerinden birini zaten ziyaret ettiyseniz ve cüzdanınızı bağladıktan sonra paranızı veya NFT’lerinizi kaybettiyseniz, varlıklarınızı kurtarmanın muhtemelen bir yolu yoktur.
Celsius daha önce alacaklıların fonlarını çalmak için kullanılan benzer kimlik avı saldırılarını bildirmişti.