Coinbase 钓鱼攻击者如何窃取一次性密码

　　最近对 Coinbase 用户的网络钓鱼行动表明，攻击者在盗取登录所需的一次性密码（OTP）上更聪明了。它还表明，网络钓鱼攻击者正试图注册数百万个新的 Coinbase 帐户，以找出与活跃帐户绑定的电邮地址。Coinbase 是世界第二大加密货币交易所，拥有来自 100 多个国家的约 6800 万名用户。现已失效的钓鱼网站 coinbase.com.password-reset[.]com（网站的默认语言是意大利语）针对的是意大利 Coinbase 用户。网络安全公司 Hold Security 的创始人 Alex Holden 认为，这个网站可以说相当成功。

　　他的团队设法发现了钓鱼网站的部分文件目录（目录文件隐藏得很糟糕），其中包括网站的管理页面。如屏幕截图所示，在网站下线之前，网络钓鱼攻击者至少捕获了 870 组凭据。每当有新受害者在钓鱼网站上提交凭据，管理面板都会发出一声响亮的“叮”——大概是为了提醒在网络另一端操纵骗局的人，又有新的“鱼”上钩了。每到这个时候，网络钓鱼攻击者就会手动按下一个按钮，让钓鱼网站向访问者询问更多信息，例如他们在移动应用程序上收到的一次性密码。Holden 表示：“这些人有能力从受害者那里实时索取进入其 Coinbase 帐户所需的任何信息。”按“发送信息”按钮会提示访问者提供其他的个人信息，包括他们的姓名、出生日期和街道地址。有了目标的手机号码，他们还可以点击“发送验证短信”按钮发送一条短信，要求访问者发回一次性密码。这个网络钓鱼组织似乎尝试过用超过 250 万意大利人的电子邮件地址来注册新的 Coinbase 账户，他们用这种方式找出意大利的 Coinbase 用户。他的团队设法恢复了受害者提交给网站的用户名和密码数据，几乎所有提交的电子邮件地址都以“.it”结尾。

　　此案的网络钓鱼攻击者可能没兴趣注册任何账户。他们知道用任何同现有 Coinbase 帐户绑定的电子邮件地址进行注册都会失败。在尝试了几百万次之后，钓鱼攻击者将新账户注册失败的电子邮件地址收集起来，并给这些邮件地址发送以 Coinbase 为主题的钓鱼电子邮件。Holden 的数据显示，该网络钓鱼团伙采用广撒网的方式，每天会进行数十万次的账户注册尝试。例如，在 10 月 10 日，骗子在 Coinbase 的系统中检查了超过 216,000 个电邮地址。第二天他们又尝试注册 174,000  个新账户。