W świecie kryptowalut bezpieczeństwo aktywów cyfrowych opiera się na portfelach sprzętowych, takich jak Ledger czy Trezor, które mają zapewniać izolację kluczy prywatnych od sieci. Niestety, cyberprzestępcy opracowali nowe narzędzie o nazwie OkoBot, które stanowi bezpośrednie zagrożenie dla użytkowników tych urządzeń. Framework ten został zaprojektowany w celu przeprowadzania wyrafinowanych ataków typu phishing, których celem jest przejęcie fraz odzyskiwania (seed phrase), czyli kluczowych haseł dających pełny dostęp do portfela.
OkoBot działa poprzez infekowanie aplikacji towarzyszących, z których korzystają posiadacze portfeli sprzętowych. Zamiast atakować bezpośrednio zabezpieczone urządzenie, co jest niezwykle trudne, przestępcy skupiają się na oprogramowaniu zainstalowanym na komputerze użytkownika. Po zainfekowaniu systemu, framework wstrzykuje złośliwy kod do interfejsu aplikacji, tworząc fałszywe komunikaty, które do złudzenia przypominają oficjalne monity systemowe.
Mechanizm działania ataku
Atak wykorzystuje socjotechnikę, aby nakłonić użytkownika do ujawnienia frazy seed. W momencie, gdy użytkownik próbuje wykonać standardową operację w aplikacji Ledger lub Trezor, OkoBot wyświetla okno z prośbą o weryfikację lub odzyskanie dostępu do portfela. Użytkownik, przekonany, że wykonuje bezpieczną procedurę, wpisuje swoje 12 lub 24 słowa kluczowe w podstawione pole tekstowe. W tym momencie dane trafiają bezpośrednio do przestępców.
Kluczowe cechy tego zagrożenia obejmują:
Jak chronić swoje aktywa?
Najważniejszą zasadą bezpieczeństwa w korzystaniu z portfeli sprzętowych pozostaje fakt, że żadna legalna aplikacja nigdy nie poprosi użytkownika o wpisanie frazy seed na ekranie komputera. Fraza ta powinna być wprowadzana wyłącznie na fizycznym urządzeniu (jeśli posiada ono klawiaturę) lub zapisana na papierze w momencie konfiguracji portfela. Każda prośba o wpisanie tych słów w oknie przeglądarki lub aplikacji desktopowej jest jednoznacznym sygnałem próby kradzieży.
Warto również zwrócić uwagę na koszty, jakie ponoszą przestępcy, tworząc tego typu narzędzia. Na czarnym rynku oprogramowanie typu OkoBot jest oferowane w modelu subskrypcyjnym, a jego cena wynosi około 500 dolarów miesięcznie, co w przeliczeniu daje kwotę rzędu 2000 złotych. Wysoka cena narzędzia świadczy o tym, że przestępcy traktują ataki na posiadaczy kryptowalut jako wysoce dochodowy biznes, co zmusza użytkowników do zachowania szczególnej czujności przy każdej interakcji z oprogramowaniem finansowym.
Nigdy nie wpisuj swojej frazy odzyskiwania na komputerze, telefonie ani w żadnym formularzu online. Prawdziwe portfele sprzętowe służą do tego, aby klucze prywatne nigdy nie opuszczały bezpiecznego środowiska urządzenia.
Aby zminimalizować ryzyko, należy regularnie aktualizować oprogramowanie antywirusowe oraz korzystać wyłącznie z oficjalnych stron producentów przy pobieraniu aplikacji do obsługi portfeli. Wszelkie nietypowe zachowania aplikacji, takie jak nagłe prośby o ponowne logowanie czy weryfikację frazy, powinny skutkować natychmiastowym przerwaniem pracy i przeskanowaniem systemu pod kątem obecności złośliwego oprogramowania.