Coinbase警告钓鱼新招，假迁移邮件藏恶意密钥窃走加密货币资产

一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移，欺骗用户使用攻击者控制的预生成恢复短语设置新钱包。

一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移，欺骗收件人使用攻击者控制的预生成恢复短语设置新钱包。

这些邮件的主题是“迁移至Coinbase钱包”，声称所有用户必须迁移到自我托管钱包，并提供了下载合法Coinbase钱包的说明。

“自3月14日起，Coinbase将过渡到自我托管钱包。在一场集体诉讼指控未注册证券和无证经营后，法院要求用户自行管理钱包，”钓鱼邮件中写道。

“Coinbase将作为注册经纪人，允许购买，但所有资产必须转移到Coinbase钱包。”

“下面显示的唯一恢复短语是您的Coinbase身份。它授予对您资金的访问权—请将其记录下来并安全存储。通过依次输入每个单词后跟一个空格，将其导入Coinbase钱包。”

这些邮件声称来自Coinbase，但回信地址是[email protected]。它们还来自IP地址167.89.33.244，这是一个SendGrid IP地址，通过DNS解析到o1.soha.akamai.com。

由于这些邮件似乎是通过SendGrid直接发送的，并且似乎是通过Akamai的账户，因此它们通过了SPF、DMARC和DKIM电子邮件安全检查，从而绕过了许多账户的垃圾邮件过滤器。

目前已联系Akamai，询问是否有一个SendGrid账户被攻破，并收到了以下声明。

“Akamai已注意到有关针对Coinbase用户的网络钓鱼骗局的报道，该骗局涉及使用Akamai电子邮件域名。我们非常重视信息安全，并正在积极调查此事。”Akamai恢复。

“网络钓鱼骗局仍然是普遍的网络威胁，我们敦促所有用户在收到未请求的电子邮件时保持警惕，尤其是那些要求提供个人信息或账户信息的邮件。如果您怀疑一封邮件可能是网络钓鱼尝试，请将其视为网络钓鱼，并避免点击任何链接或提供任何敏感信息。”

“我们正在努力解决这一情况，并将继续监控和减轻任何相关风险。在此期间，我们建议提高警惕，以帮助保护您的个人信息。”

这场网络钓鱼活动的特别之处在于，邮件内没有任何网络钓鱼链接，所有链接都指向Coinbase合法的钱包页面。

相反，网络钓鱼邮件包含一个恢复短语，声称应使用该短语设置新的Coinbase钱包。

恢复短语，也称为“种子”，是一系列单词，作为加密货币钱包私钥的人类可读版本。

任何知道此恢复短语的人都可以将其导入自己的设备，从而窃取其中存储的任何加密货币和NFT。

虽然大多数加密货币网络钓鱼骗局试图窃取用户的恢复短语，然后攻击者用其窃取资金，但此次网络钓鱼活动则相反。

这封网络钓鱼邮件非常巧妙，因为它不是窃取用户的短语，而是提供一个攻击者已经知道并控制的短语。

一旦用户使用该短语设置新钱包并转移资金，所有资产将可供威胁行为者使用，他们可以将其转移到自己控制的另一个钱包。

Coinbase已意识到这一骗局，并在X上发帖称他们永远不会向客户发送恢复短语。

“提醒：警惕恢复短语骗局，”Coinbase在X上发帖。

“我们已注意到新的网络钓鱼邮件，伪装成Coinbase和Coinbase钱包。我们永远不会向您发送恢复短语，您也不应输入任何其他人提供的恢复短语。”

对于那些上当受骗的人，如果新创建的钱包中仍有资金，应迅速将其转回自己的钱包，以免被威胁行为者窃取。

虽然规则一直是不要将恢复短语分享给其他人或网站，但现在应扩展为不要使用通过电子邮件和网站共享给您的恢复短语，因为它们很可能被用于窃取您的加密货币。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://www.bleepingcomputer.com/news/security/coinbase-phishing-email-tricks-users-with-fake-wallet-migration/

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：Coinbase警告钓鱼新招，假迁移邮件藏恶意密钥窃走加密货币资产