מתקפה חדשה וסופר מקורית של קריפטומיינרים

בשבוע שבועיים האחרונים אזרחי ישראל מוצפים בסמסים מפתים המציעים להם הצעות מעניינות. שני אנשים פנו אלי בנוגע להצעות האלו . הדס מאירי רונן (ההצעה מחברת דלתא) וכן אפרת בר סיני, מהתוכנית חי בלילה (ערוץ 12). עבודה מחקר קצרצרה ולא מסובכת חשפה בפני דרך תקיפה ומקורית. אבל ראשית, למי שהתמזל מזלו ולא נתקל בסמסים האלו – הנה דוגמה:

Delta Airline is rewarding everyone with 2 free plane tickets to celebrate 98 Years of quality service. Get your free ticket at : http://deltá.com/free-tickets/ .

סמס מזויף עם הצעה מזויפת מאיקאה

Ikea is giving away free shopping vouchers to everyone, go here to get it: ⇨ http://ikea.com-wallet.com

סמס מזויף עם הצעה מזויפת מדלתא

רבים מתפתים. כשהם נכנסים לאתרים האלו הם רואים תגובות פייסבוק עם שלל אנשים מחייכים מחזיקים בטובין שהתקבלו כביכול מהאתר וכן מונה של מספרי מתנות שהולך ויורד.

חלק התגובות של האנשים המאושרים שזכו

חלק התגובות של האנשים המאושרים שזכו

הם נשאלים מספר שאלות קצרות, עובר פרק זמן מסוים ואז הם נדרשים לשלוח 15 ווטסאפים לאחרים על מנת להזמין אותם לאתר.

כפתורי הצעות ומונה שהולך ויורד ומלחיץ את המערכת

כפתורי הצעות ומונה שהולך ויורד ומלחיץ את המערכת

אך אויה! אחרי שהמשתמש התמים עשה את חלקו, לחץ 15 פעמים על כפתור ההזמנה והספים את חבריו, הוא מועבר אחר כבוד לאתר שבו הוא אמור לקבל את הזכייה. אך במקום להיות מועבר לאתר עם משמעות הוא מגיע למנוע החיפוש ‘בינג’ של מיקרוסופט או לעמוד הראשי של ‘עלי אקספרס’. מדהים, לא?

הקוראים הציניים יותר מבינים כבר שמדובר במרמה. אבל איזו מרמה? בדרך כלל מרמות או התקפות כאלו של דפים מזויפים, מנסים לשכנע את הגולש לתת את פרטי כרטיס האשראי שלו, או התקנת תוכנה זדונית. כאן בעצם כלום לא קורה (לפעמים, יש אתרים שכן מנסים). הגולש האומלל, אחרי שהספים את כל חבריו, נזרק מהאתר. אז מה בדיוק הולך פה?

ההתקפה עצמה

זה מה שיפה, מדובר במרמה ע-נ-ק-י-ת מההתחלה ועד הסוף. המטרה של האתר היא אחת: לכרות מטבע קריפטוגרפי. על מנת לעשות את זה, האתר מריץ קוד ג’אווהסקריפט שמשתמש במחשב של מי שנמצא באתר על מנת לבצע פעולת כריה של מטבע קריפטוגרפי (כנראה neo). פעולת הכריה בעצם משתמשת במשאבי מעבד (CPU) וחשמל כדי לייצר רווח מיידי לתוקף.

קל מאוד לראות את זה באמצעות מבט על ה-CPU כאשר נכנסים ויוצאים מהאתר:

מיד לאחר היציאה מהאתר, עוצמת העיבוד שנדרשת מהמעבד יורדת.

מיד לאחר היציאה מהאתר, עוצמת העיבוד שנדרשת מהמעבד יורדת.

ברגע הכניסה לאתר, ניתן לראות כיצד המאמץ שהמעבד המרכזי משקיע עולה

ברגע הכניסה לאתר, ניתן לראות כיצד המאמץ שהמעבד המרכזי משקיע עולה

גם אם נסתכל על צריכת הנתונים נוכל לראות את זה, אבל קצת פחות בקלות:

מי נפגע?

מה שיפה בהתקפה הזו הוא שהפגיעה בגולשים קלה יחסית – מה שקורה הוא התחממות של הטלפון, אובדן בטריה והספמת החברים וכמובן בזבוז הזמן. מבחינת התוקף מדובר ברווח גדול: באפס השקעה הוא מקבל עשרות אלפים או אפילו מאות אלפי מחשבים שעובדים בשבילו וכורים בשבילו ללא בעיות. זה רווח של עשרות אלפי דולרים להתקפה. הרבה יותר מוצלח מהשמדת הדיסק הקשיח.

האתרים התוקפים מלאים בכל מיני התקנים שנועדו להסוות את הפעילות שלהם. עבור חלק מהם, כניסה באמצעות מחשב רגיל לא תעבוד. יש באתר סקריפט שמציג דף תקול עבור כל מי שמגיע ממחשב רגיל. באתרים אחרים יש סקריפט שמונע הפעלה של כלי המפתחים של הדפדפן (למרות שניתן לעקוף אותו)

הכתובת המזויפת בהודעת השרשרת

הכתובות המופיעות בהודעת השרשרת מזויפות כמובן. או באמצעות התקפת punycode – שימוש באותיות דומות לשפה האנגלית כמו deltá.com (שימו לב לגרש מעל ה-a). או סתם הטעיה כמו ikea.com-wallet.com שזה הדומיין com-wallet ולא ikea. עד כאן מדובר בהתקפות סטנדרטיות.

תגובות הפייסבוק המזויפות באתר עצמו

באתר עצמו רואים תגובות פייסבוק של אנשים מאושרים שזכו בפרס, אך התגובות לא מגיעות מפייסבוק. הם נוצרו מקוד מזויף שמדמה תגובות פייסבוק.

קוד שמדמה תגובות פייסבוק, אבל זה לא תגובות פייסבוק

קוד שמדמה תגובות פייסבוק, אבל זה לא תגובות פייסבוק

איך מתגוננים

לשנן שוב ושוב את המשפט: אין מתנות חינם. זה כלל שמנחה אותי תמיד. לא הגרלות פייסבוק ולא הגרלות אחרות. רק הגרלות מפוקחות על ידי משרד רואה חשבון מוכר ונעשות על ידי חברה ישראלית הן הגרלות שכדאי להשתתף בהן (אם יש לכם כוח, לי אין). אם משהו נשמע טוב מכדי להיות אמיתי, הוא כנראה לא אמיתי.

הערה

התוקפים הסירו את הסקריפט הזה, יש מצב שמדובר בפיצ’ר ניסיוני של התוקפים.

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (15 הצבעות, ממוצע: 4.53 מתוך 5)

תגיות: , פורסם בקטגוריה: חדשות אינטרנט

יאללה, שתפו :)

אל תשארו מאחור! יש עוד מה ללמוד!

12 comments on “מתקפה חדשה וסופר מקורית של קריפטומיינרים
  1. משתמש אנונימי (לא מזוהה) הגיב:

    מומלץ להתקין תוסף שחוסמים מיינרים למיניהם, זה כבר נהיה מכה.

  2. אלון הגיב:

    האם יש השפעות לטווח ארוך לאהבלים כמוני שנפלו בפח?

  3. The הגיב:

    לפי בדיקה שלי אתמול בערב לאחר הפרסום ל-15 אנשים אתה מובל לminer של אתר coin-hive. הפקודה שהורצה הייתה עם Anonymouse ו-id ספציפי. בבדיקה מול ה-manual באתר של coin-hive נמצא כי הפקודה הנ”ל אינה פעילה דרך מכשירים סלולריאיים אלא רק ע”י מחשב. כמו כן מדובר ב-monero ולא ב-neo.

    • רן בר-זיק הגיב:

      מעניין, אפילו מאוד.
      אני ראיתי סקריפט אחר, לא המוכר של coinhive, אחרי שעה או שעתיים נכנסתי שוב וראיתי שאין סקריפט כריה בכלל. יש סיכוי שהם מחליפים שם סקריפטים?

      • The הגיב:

        ה-id הספציפי עושה את התעלול הזה בלא מעט אתרים. יכול מאוד להיות שמחליפים שם מקורות כדי לא להתגלות ע”י האתרים (מנוגד למדיניות coinhive לדוגמא כל עסק הכרייה ללא יידוע וכו’)

  4. משה חיים הגיב:

    איך אפשר לנטרל את ה-developer tools?
    ואיך אפשר לעקוף את הנטרול?

  5. בנימין הכוכב הגיב:

    אם נכנסתי דרך הפון כמו כל מישהו תמים.. הפצתי את חלק מהקישורים, באמצע כבר הבנתי שזה בולשיט…
    יצאתי מכרום וסגרתי אותו
    האם נגרם לי נזק למכשיר?

  6. ליאור הגיב:

    היי, קצת לא קשור אבל קשור..
    מה דעתך על דפדפן Brave?

כתיבת תגובה

האימייל לא יוצג באתר.

רישום