Giełda kryptowalut Coinroom w piątek 10 sierpnia padła ofiarą ataku hakerskiego, który polegał na przejęciu jej domeny internetowej i przekierowaniu użytkowników na fałszywą witrynę, podszywającą się pod serwis giełdy. Wg informacji Coinroom, sytuacja została opanowana, a dostęp do domeny odzyskany. Witryna giełdy jest jednak niedostępna - jej przywrócenie ma nastąpić w ciągu kilkunastu godzin.
Aktualizacja: od godz. 20:20 giełda przywróciła działanie swojej witryny
Giełda o swoich problemach poinformowała w piątek tuż przed godziną 13, prosząc swoich użytkowników, aby nie logowali się na stronie coinroom.com. Wg zapewnień giełdy, wszystkie transakcje dokonywane z poziomu platformy handlowej giełdy zostały wstrzymane.
Po wejściu na stronę giełdy pojawiała się fałszywa witryna logowania, kolekcjonująca dane autoryzacyjne od nieświadomych użytkowników Coinroom. Podejrzenia mogły wzbudzić zmieniony wygląd strony logowania i natychmiastowe przekierowanie do niej po wpisaniu adresu internetowego giełdy oraz brak certyfikatu bezpieczeństwa.
Po zalogowaniu się (fałszywa witryna do logowania z oczywistych względów akceptowała dowolny e-mail oraz hasło) użytkownik otrzymywał informację o koncie zablokowanym ze względów bezpieczeństwa i konieczności dokonania wpłaty nieokreślonej liczby BTC na podany adres, aby je odblokować.
Co ciekawe, nawet prośba o dokonanie wpłaty w celu rzekomego odblokowania konta nie wzbudziła podejrzeń sześciu klientów giełdy, którzy zdecydowali się na przesłanie, na szczęście niewielkich, kwot w BTC na adres podany przez oszustów. Łączna kwota wyłudzonych wpłat to ok. 0.005 BTC, czyli niewiele ponad 120 PLN.
Biorąc pod uwagę godzinę pierwszej wpłaty na adres oszustów (11:28), można stwierdzić, że od przejęcia domeny Coinroom do opublikowania informacji przez giełdę minęło przynajmniej półtorej godziny.
Historia adresu BTC wykorzystanego przez oszustów, blockchain.com
Jak doszło do ataku?
Atak nie był typowym phishingiem, próbującym podszyć się pod witrynę giełdy przy pomocy bardzo podobnego adresu internetowego, lecz jego bardziej wyrafinowaną formą. Atakujący w żaden sposób nie złamali zabezpieczeń samej giełdy, lecz wykorzystali jej piętę achillesową, jaką była popularna platforma hostingowa zenbox. Wg doniesień portalu niebezpiecznik.pl, atakujący sfałszowali dokumenty wysłane do zenbox, podszywając się pod prezesa giełdy Coinroom, prosząc o zmianę przypisanego adresu e-mail. Obsługujący serwery zenbox rzekomo dokonał zmiany adresu na podany w piśmie bez dokonania jakiejkolwiek weryfikacji. Sama zmiana adresu e-mail przypisanego do konta pozwoliła atakującym wprowadzić przekierowania na swój serwer prosto z poprawnego adresu coinroom.com. Giełda poinformowała o planach podjęcia kroków prawnych wobec firmy zenbox, która mogła dopuścić się do naruszenia zasad bezpieczeństwa.
Mimo, że na dobrą sprawę sama giełda nie padła ofiarą ataku, trudno jednak twierdzić, że jest bez winy. Usługa hostingowa, z której korzysta Coinroom jest popularnym i tanim rozwiązaniem dla witryn internetowych, jednak nie spełnia rygorystycznych wymogów bezpieczeństwa i nie posiada odpowiednich procedur, aby korzystały z niej serwisy o podwyższonym ryzyku ataku hakerskiego, jakimi są bez wątpienia giełdy kryptowalut.
Należy dodać, że właściciel firmy zenbox, Bartosz Gadzimski, stwierdził w konwersacji na portalu Facebook, że jego firma działała zgodnie z procedurami i że klient (giełda Coinroom) również „nie jest bez winy”.
Uwaga na fałszywą aplikacje mobilną Coinroom!
Giełda Coinroom w piątek poinformowała również swoich klientów o fałszywej aplikacji mobilnej w Google Play (na urządzenia z systemem Android), która tytułuje się „oficjalną aplikacją giełdy”. Coinroom obecnie nie posiada aplikacji mobilnych na urządzenia Android oraz iOS, zaś fałszywa aplikacja została udostępniona przez developera o nazwie „BTC Company”, który oferuje również aplikację dla giełdy kryptowalut BTC-Alpha.
Obie aplikacje mogą służyć wyłudzeniu danych do logowania i korzystanie z nich jest niezalecane.
Fałszywe „oficjalne” aplikacje giełd w Google Play
Giełda kryptowalut Coinroom
Giełda Coinroom została założona w kwietniu 2017 r. i obecnie jest jednym z ostatnich podmiotów zajmujących się pośrednictwem w handlu walutami cyfrowymi zarejestrowanym na terenie Polski (siedziba spółki znajduje się w Warszawie).
Giełda oferuje handel na 61 instrumentach obejmujących zarówno pary krypto-krypto, jak i krypto-fiat; na platformie dostępnych jest 16 kryptowalut, takich jak m.in. bitcoin (BTC), Ethereum (ETH), Bitcoin Cash (BCH), Dash, Monero (XMR), Lisk (LSK). Giełda oferuje również rozbudowaną obsługę walut fiducjarnych, takich jak PLN, USD, EUR oraz GBP.
Największy obrót odbywa się na instrumencie BTC/PLN (ponad 70% dziennego wolumenu handlowego). Mimo, że Coinroom jest znacznie mniej rozpoznawalną giełdą np. od najpopularniejszej polskiej giełdy BitBay (obecnie z siedzibą na Malcie), kilkukrotnie zdarzyło się, że miała od niej większy dzienny obrót. Obecnie Coinroom znajduje się w okolicach siódmej dziesiątki pod względem wolumenu handlowego wśród giełd kryptowalut (BitBay plasuje się w okolicach 42 miejsca).
Opisywana w artykule sytuacja jest pierwszym incydentem bezpieczeństwa związanym z funkcjonowaniem giełdy kryptowalut Coinroom.
Magazyn: Rafał Zaorski - Zarobił 2,5 mln w 24h
