Ataque via DNS Poison, compromete MyEtherWallet – mas culpa é do Google

Os Servidores DNS MyEtherWallet foram rapidamente sequestrados e redirecionados para um site de phishing em um ataque de envenenamento clássico.

No início da manhã, servidores fornecendo serviço de sistema de nomes de domínio (DNS) para MyEtherWallet (MEW), foram vítimas de um hack que utilizou o envenenamento de cache DNS – por meio de sequestro Border Gateway Protocol (BGP).

 

Alguns usuários que fizeram login no MyEtherWallet durante esse breve período hoje – horas no máximo – foram vítimas de uma tentativa de phishing que enganou os usuários a entregarem suas chaves da carteira. Está sendo relatado que o atacante fugiu com 215 Ether, o equivalente a US$ 160.000 no momento da transação. É possível que todo o dinheiro tenha sido lavado através de outra cryptomoeda já.

O fundador da MyEtherWallet Kosala Hemachandra disse à ETHNews:

“Foi um ataque de envenenamento de DNS em myeitherwallet.com. Suspeitamos que o DNS do Google o armazenou em cache e muitos outros servidores DNS também armazenaram o cache. Não foi nosso fim. Nossas mãos estavam amarradas.”

O spoofing de DNS é um tipo de invasão de endereço IP que tem é particularmente venenoso quando utilizado contra serviços financeiros devido à exposição dessas plataformas às finanças pessoais e corporativas de seus clientes. Esse tipo de hack é particularmente perigoso por causa da facilidade com que pode se propagar de um servidor para outro.

Os hackers utilizam vetores de ataque que exploram a fraqueza do sistema de nomes de domínio da Internet para redirecionar o tráfego da Internet de servidores ou sites legítimos para sites fraudulentos que muitas vezes se assemelham a seu verdadeiro doppelganger ou imitam sua funcionalidade.

A MEW tinha pouco controle ou meios para evitar a situação, que foi resolvida por provedores de servidores, não pela MEW.

A MEW fez um conjunto de lembretes que devem ser considerados primordiais para os usuários:

“POR FAVOR, ASSEGURE-SE que existe um certificado SSL de barra verde que diz” MyEtherWallet Inc “antes de usar o MEW.

“Aconselhamos os usuários a executar uma cópia local (offline) do MEW (MyEtherwallet).”

“Pedimos aos usuários que usem carteiras de hardware para armazenar suas criptomoedas. “

 

De acordo com uma postagem no Reddit, as pessoas que usavam os servidores DNS públicos do Google estavam obtendo o endereço IP incorreto para o site do MEW. Em vez de irem para o endereço habitual da rede de distribuição de conteúdo do CloudFront, os visitantes foram enviados para um endereço IP russo executando um servidor web. Quando eles navegaram para o site, eles foram recebidos com algo que imitava o MEW, levando-os a fornecer suas chaves privadas para suas carteiras.

O endereço do hacker foi encontrado, rotulado como “Fake_Phishing899” pelo Etherscan, um serviço que permite às pessoas obterem endereços no blockchain Ethereum e encontrar informações sobre suas transações.

Essa forma avançada de phishing pegou mais de cem pessoas desprevenidas, superando eventos no passado envolvendo o site. Em outro ataque de phishing em outubro do ano passado, os hackers ganharam US$ 15.000 em Ether, utilizando-se de um app baseado na App Store.

Mas, no que diz respeito ao ataque atual, ele poderia ter sido facilmente evitado olhando para a barra de endereços para uma cadeado verde com “MyEtherWallet Inc (US)”. Isso indicaria que o site que você está visitando tem um certificado OV ou EV (que é praticamente impossível de replicar) pertencente ao MyEtherWallet.

Embora a maioria dos sites tenha apenas a palavra “Seguro” ao lado do cadeado verde — que é indicativo de um certificado de validação de domínio (DV) — MyEtherWallet e outros desenvolvedores de aplicativos financeiros levam isso a sério e obtêm certificados de validação organizacional (OV) ou estendida (EV), que comprovam que uma organização controlada está atualmente encarregada do domínio.

No evento de hoje a culpa foi toda do servidor DNS do Google.

 

Siga-nos no Telegram   no WhatsApp   no Twitter

%d blogueiros gostam disto:

Nossa Newsletter

Inscreva-se para a nossa newsletter!

[mc4wp_form id="1627"]