攻击者冒充合法网站来窃取比特币

这两天，新出现了一个名为“Privnotes.com”的钓鱼网站正在伪装成“Privnote.com”来攻击用户，当用户通过该钓鱼网站发送任何包含比特币地址的消息时，该地址就会被攻击者替换，这样消息的发送方和接收方看到的地址就截然不同。Privnote是来自乌拉圭的一个提供在线免费发送便签服务的网站，发送的便签在阅读后，将自动销毁。不需要注册即可直接使用，支持包括简体中文在内的多种语言，Privnote采用全https加密浏览，可以确保你的消息安全。

窃取过程

据报道，在这起可以被称为“域名抢注”和“网络钓鱼”的案件中，攻击者创建了一个网站，该网站模仿合法的安全票据共享服务privnote.com来窃取比特币。privnote.com（提供自毁粘贴服务的合法网站）的创建者就曾担心有人会创建虚假版本的网站来诱骗用户使用它。

今年早些时候，就有攻击者开始伪装成Privnote.com，欺骗了许多该服务的用户。

合法的Privnote.com网站提供发送加密和自毁笔记的能力，这些笔记可以与其他用户共享。

伪造的网站的名称和外观都和原版网站及其相似，只不过假的网站会在Google搜索中添加自己的广告，使其搜索结果超过了原版网站的搜索结果。

这意味着用户每次搜索“privnote”时，Google都会首先显示Privnotes.com（伪造的网站）广告。

合法的Privnote.com服务对所有自毁的粘贴进行加密，使这些信息变得不可更改，甚至网站本身也可读。

但是，Privnote.com的开发人员发现，这些伪造者不仅没有实施加密，而且还做了一些邪恶的事情。

通过修改粘贴的地址窃取比特币

在安全专家Allison Nixon的帮助下，我们发现Privnotes.com的建立是为了窃取通过他们的平台发送的加密货币支付请求。

当粘贴的内容包含一个比特币地址时，它会将比特币地址更改为在攻击者控制下的地址，以窃取加密货币。

此外，为了避免被发现，修改后的比特币地址的前四个字符与原来粘贴的地址相同。

此外，这种攻击行为很难被发现，对于终端用户来说，网站只会在访问粘贴的IP地址与创建者的IP地址不同的情况下修改比特币的地址。

然而，通过使用vpn和个人隐身会话(防止通过cookie跟踪)的BleepingComputer测试，该网站似乎已经暂时收回了恶意行为。在我们最近的测试中，比特币地址保持不变。恶意软件研究技术网(BleepingComputer)是国外的一家以技术研究为主的电脑安全站点，以研究互联网中的病毒、勒索软件、恶意软件为主，通过专业的技术分析来发布互联网中的安全信息和评测数据报告，解决用户电脑中毒后的修复问题。

比如，我们发送了一条消息，其中包含比特币地址' 3j98t1wpez73cnmqviecrnyiwrnqrhwonly '。

在另一台计算机上，收件人在另一个IP地址上也收到了相同的比特币地址。

从挂锁图标可以明显看出，尽管两个网站都提供了使用SSL / TLS的“安全连接”，但Bleeping Computer注意到它们的证书之间存在明显的区别。Privnotes.com的冒名顶替者使用的是Let's Encrypt提供的免费证书。不过使用Let's Encrypt证书并不能自动表明网站是恶意网站。

然而，由于Let's Encrypt免费的性质和被现代网络浏览器识别的高几率，使得它成为设置钓鱼网站的骗子们的最佳选择。在2017年1月1日到3月31日期间，Netcraft就拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截，而不是拦截特定的子目录。在被完全拦截的网站中，61%使用了Let's Encrypt颁发的证书，36%使用了Comodo颁发的证书。今年3月，由于域名验证和证书签发软件中的一个错误，Let's Encrypt将吊销近300万张证书。日前，Let's Encrypt已经向受影响的客户发邮件告知，以便其及时地更新。由于事发突然，Let’s encrypt仅对有联系方式的用户进行了邮件通知，且从通知到吊销留给用户的更新时间不足24小时，此举可能意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用，造成直接的经济损失。

这一复杂的骗局是给了用户和网站创建者一个提醒，当他们通过电子手段分享敏感信息时，没有什么能彻底保证隐私。在这种情况下，用户甚至可能没有发现他们所在的Privenotes网站是假的。

此事件还提醒网站的所有者，在其他人“抢注”类似的域名时，就要开始对其多加注意了。

虽然域名抢注可能被滥用，但当原始域名所有者关注到自己的域名被抢注时，还是可以有效地阻止钓鱼攻击发生的。为了保护用户，大银行和金融服务机构已经把类似的域名都提前抢注了。