BitPay лишилась почти двух миллионов долларов в результате фишинга

Сегодня стало известно ^[1], что финансовый директор платёжной системы BitPay стал жертвой e-mail фишинга, в результате чего система лишилась активов на сумму в 5000 BTC (порядка $1,8 млн по курсу на дату взлома). Судебный иск по этому делу был подан в декабре 2014 года. Ответчиком выступает страховая компания, обслуживающая систему, отказавшаяся выплачивать страховку в размере $950000, которые система потребовала с неё для покрытия убытков.

Процедура взлома прошла просто и элегантно, как в одном из эпизодов сериала Mr.Robot. Брайан Крон получил письмо якобы от Дэвида Бэйли, представителя онлайн-издания yBitcoin, посвящённого криптовалютам. По-видимому, почтовый аккаунт Бэйли оказался взломан до этого, или же мошенники просто подделали адрес отправителя.

Мнимый Бэйли попросил внести какие-то правки в документ, размещённый на Google Drive. Когда Крон прошёл по ссылкам в письме, он попал на поддельный сайт Gmail, запросивший у него почту и пароль. Крон ввёл в форму свои идентификационные данные.

В результате неизвестные взломщики получили доступ к электронной почте финансового директора платёжной системы Брайана Крона. Читая переписку директора, они подробно изучили, как ведутся дела в платёжном сервисе — в частности, что сотрудничество с одним из клиентов, компанией SecondMarket, проходит без предварительных уведомлений. После чего в течение нескольких дней раздали от его имени указания главному директору компании Стивену Пэйру отправить на три разных биткоин-адреса суммы в 1000, ещё 1000 и 3000 BTC под видом платежей для SecondMarket. Адреса эти, естественно, принадлежали мошенникам.

После третьего емейла Стивен Пэйр что-то заподозрил, и решил проверить, действительно ли именно финансовый директор раздаёт эти подозрительные указания. Проверил он это, написав ответный емейл на адрес Крона с просьбой о подтверждении указаний. Злоумышленники, имевшие доступ к почте Крона, получили этот вопрос и отправили Пэйру ответное письмо с подтверждением транзакции.

Вскрылась махинация после того, как Пэйр начал общаться с представителями фирмы SecondMarket, которая якобы должна была получить перевод. В SecondMarket объяснили, что переводов не заказывали и денег не получали.

Пока личность злоумышленников остаётся неизвестной. Известно лишь, что виной всему, в конечном счёте, стала неряшливая организация работы платёжной системы, при которой возможно отправить деньги на любой адрес только по указанию, полученному по e-mail.

BitPay – один из крупнейших операторов платежей для криптовалют. В декабре 2014 Microsoft стала принимать платежи в криптовалютах ^[2], пользуясь их услугами, а в январе 2015 BitPay запустили первую в истории рекламу криптовалют по телевидению ^[3].

Автор: SLY_G

Источник ^[4]