Orosz hackercsoport a háttérben
Internetes biztonsági szakemberek, köztük a Koi Security kutatói megállapították, hogy a támadások mögött valószínűleg egy orosz nyelvű hackercsoport áll, akik az eredeti, nyílt forráskódú bővítmények klónjait készítik el rosszindulatú módosításokkal. A kódban speciális „input” és „click” figyelők is működnek: ezek azt vizsgálják, mikor ír be valaki hosszú, 30 karakternél több adatot, ami jellemzően kriptotárca-kulcs vagy helyreállító kifejezés (seed phrase), majd ezt azonnal kiszivárogtatják a támadók szerverére.
Az ellopott helyreállító kifejezés = üres tárca
A helyreállító kifejezés, vagyis a kriptotárca visszaállításához szükséges kulcs több szóból áll, és ha valaki ezt megszerzi, azonnal hozzáfér az összes kriptopénzhez a tárcában – a lopás pedig jóváhagyott tranzakciónak látszik, visszafordítani pedig lehetetlen. A támadók elrejtik a hibaüzeneteket, így a gyanútlan felhasználó még csak nem is sejti, hogy áldozattá vált.
Hamis értékelések, figyelmetlen felhasználók
A csalók a hitelesség látszatát keltik: a bővítményeknél eredeti logók szerepelnek, százával születnek hamis ötcsillagos értékelések, miközben egyre több az egypontos, panaszkodó vélemény is – vélhetően a károsultaktól. Sokan nem gondolnak bele, hogy az értékelések száma jóval meghaladja a letöltésekét, így könnyen bedőlhetnek az átverésnek.
A Mozilla próbálja megfékezni az áradatot
A Mozilla egy automatizált előszűrő rendszert dolgozott ki: ha gyanús mintákat érzékel, emberi ellenőrök vizsgálják meg a kiegészítőket, és szükség esetén eltávolítják őket. A Koi Security jelentette az ártalmas bővítményeket, de azok egy része továbbra is elérhető. A Mozilla szerint a legtöbbet már törölték, azonban folyamatosan felbukkannak újak is. Mivel a támadók továbbra is egyszerű módszerekkel – például hamis értékelésekkel és ismert márkák logóival – szereznek bizalmat, a felhasználóknak még körültekintőbbnek kell lenniük.
