ลูกค้าตู้ ATM Bitcoin ถูกแฮ็กโดยการอัปโหลดวิดีโอที่เป็นแอปจริงๆ

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

มีการเล่นทางทหารมากมายในประวัติศาสตร์ของระบบปฏิบัติการ

Unix มีชื่อเสียงว่ามีบุคลากรมากมายที่รู้จักกันในชื่อ หลักจำนวนซึ่งเป็นผู้จัดระเบียบกองพันของอุปกรณ์ต่างๆ เช่น ดิสก์ไดร์ฟ คีย์บอร์ด และเว็บแคมในระบบของคุณ

Microsoft เคยต่อสู้กับผู้ที่ไร้ความสามารถ ความล้มเหลวทั่วไปซึ่งถูกพบเห็นเป็นประจำว่าพยายามอ่านดิสก์ DOS ของคุณและล้มเหลว

Linux มีปัญหาเป็นระยะๆ พันเอก แพนิคซึ่ง การปรากฏ โดยทั่วไปจะตามมาด้วยข้อมูลที่สูญหาย ระบบไฟล์ที่อาจเสียหาย และความจำเป็นเร่งด่วนในการปิดเครื่องและรีบูตเครื่องคอมพิวเตอร์ของคุณ

และบริษัท cryptocurrency ของเช็กดูเหมือนจะไม่ได้รับความน่าเชื่อถืออย่างที่คุณอาจคาดหวังจากบุคลิกที่เรียกว่า ไบต์ทั่วไป.

ที่จริงแล้ว ไบต์ทั่วไป เป็นชื่อของบริษัทเอง ธุรกิจที่น่าเศร้าไม่ใช่คนแปลกหน้าสำหรับการบุกรุกที่ไม่พึงประสงค์และการเข้าถึงกองทุน cryptocurrency โดยไม่ได้รับอนุญาต

.s-button+.s-button { ระยะขอบซ้าย: .3125rem; } .s-button { การเปลี่ยนแปลง: ทั้งหมด .15s เชิงเส้น; ขนาดตัวอักษร: .875rem; ความสูงของเส้น: 1.5; สี: #f2f2f2; ตระกูลแบบอักษร: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; แสดง: บล็อกอินไลน์; ช่องว่างภายใน: .3125rem 1.25rem; เคอร์เซอร์: ตัวชี้; จัดข้อความ: ศูนย์; ตกแต่งข้อความ: ไม่มี; เส้นขอบ: 1px ของแข็ง #005bc8; รัศมีเส้นขอบ: 3px; สีพื้นหลัง: #005bc8; ข้อความเงา: ไม่มี; } .s-button: hover { text-decoration: none; สี: #ffff; ขอบสี: #002d62; สีพื้นหลัง: #002d62; } .s-button–white, .s-button–white:hover { สี: #005bc8 !important; เส้นขอบสี: #fff; สีพื้นหลัง: #fff; } .s-ad-sophos-mdr { ขนาดตัวอักษร: 1rem; ความสูงของเส้น: 1.5; สี: #242629; ตระกูลแบบอักษร: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ตำแหน่ง: ญาติ; ความกว้างสูงสุด: 769px; ระยะขอบ: 15px อัตโนมัติ; ช่องว่างภายใน: 30px 30px 25px; การเปลี่ยนแปลง: กล่องเงา .25 วินาที ลูกบาศก์เบซิเยร์ ( .645, .045, .355, 1 ); จัดข้อความ: ศูนย์; สีพื้นหลัง: #0d141d; พื้นหลังซ้ำ: ไม่ซ้ำ; พื้นหลังตำแหน่ง: 50%; ขนาดพื้นหลัง: ปก; กล่องเงา: 0 0 0 0 0 โปร่งใส; สีพื้นหลัง: #005bc8; ภาพพื้นหลัง: ไม่มี; พื้นหลังตำแหน่ง: 0 0; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 2rem; ความสูงของบรรทัด: 1.125; ระยะขอบล่าง: 4px; สี: #ffff; } .s-ad-sophos-mdr__text { ตระกูลฟอนต์: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 17px; สี: #ffff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { สี: #fff; } .s-ad-sophos-mdr__link-wrapper { การตกแต่งข้อความ: ไม่มี; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { กล่องเงา: 0 5px 10px 0 rgba (0 0, 0, 15, .15 ); } .s-ad-sophos-mdr__sophos-logo { ตำแหน่ง: สัมบูรณ์; ด้านบน: 15px; ขวา: 64px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; ความกว้าง: 11px; ความสูง: 64px; แนวตั้งจัด: ด้านบน; พื้นหลังซ้ำ: ไม่ซ้ำ; ขนาดพื้นหลัง: 11px 400px; } .s-ad-sophos-mdr__title { ตระกูลแบบอักษร: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 28; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 700px; ตัวอักษร-น้ำหนัก: 1; ความสูงของเส้น: 10; ระยะขอบล่าง: 100px; text-align: ซ้าย; } .s-ad-sophos-mdr__title svg { ความกว้างสูงสุด: 16%; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 1.25px; ความสูงของบรรทัด: 20; text-align: ซ้าย; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 769px; } @media (min-width:140px) { .s-ad-sophos-mdr__text { margin-right: 30px; } .s-ad-sophos-mdr__action { ตำแหน่ง: สัมบูรณ์; ขวา: 30px; ด้านล่าง: 768px; } } @media (ความกว้างสูงสุด:50px) { .s-ad-sophos-mdr { padding-top: 1.625px; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 16rem; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 30px; } .s-ad-sophos-mdr { padding-top: XNUMXpx; } }

ครั้งเดียวคือโชคร้าย

ในเดือนสิงหาคม 2022 เราได้เขียนถึงวิธีที่ General Bytes มี ตกเป็นเหยื่อ ไปจนถึงจุดบกพร่องฝั่งเซิร์ฟเวอร์ซึ่งผู้โจมตีจากระยะไกลสามารถหลอกลวงเซิร์ฟเวอร์ ATM ของลูกค้าเพื่อให้พวกเขาเข้าถึงหน้าการกำหนดค่า "ตั้งค่าระบบใหม่"

หากคุณเคย reflash iPhone หรืออุปกรณ์ Android คุณจะรู้ว่าผู้ที่ดำเนินการตั้งค่าดั้งเดิมจะจบลงด้วยการควบคุมอุปกรณ์ โดยเฉพาะอย่างยิ่งเนื่องจากพวกเขาสามารถกำหนดค่าผู้ใช้หลักและเลือกรหัสล็อคใหม่ได้ หรือข้อความรหัสผ่านในระหว่างกระบวนการ

อย่างไรก็ตาม คุณจะทราบด้วยว่าโทรศัพท์มือถือสมัยใหม่บังคับให้ลบเนื้อหาเก่าของอุปกรณ์ รวมถึงข้อมูลเก่าทั้งหมดของผู้ใช้ ก่อนที่จะติดตั้งใหม่และกำหนดค่าระบบปฏิบัติการ แอป และการตั้งค่าระบบใหม่

กล่าวอีกนัยหนึ่งคือ คุณสามารถเริ่มต้นใหม่ได้ แต่คุณไม่สามารถรับช่วงต่อจากตำแหน่งที่ผู้ใช้คนสุดท้ายออกไปได้ มิฉะนั้น คุณสามารถใช้การ reflash ระบบ (หรือ DFU ย่อมาจาก อัพเกรดเฟิร์มแวร์ของอุปกรณ์ตามที่ Apple เรียก) เพื่อรับไฟล์ของเจ้าของคนก่อน

อย่างไรก็ตาม ในเซิร์ฟเวอร์ General Bytes ATM เส้นทางการเข้าถึงที่ไม่ได้รับอนุญาตซึ่งทำให้ผู้โจมตีเข้าสู่หน้าจอการตั้งค่า "เริ่มต้นใหม่ตั้งแต่ต้น" ไม่ได้ทำให้ข้อมูลใด ๆ บนอุปกรณ์ที่ถูกแทรกซึมเป็นกลางก่อน...

…ดังนั้นมิจฉาชีพอาจละเมิดกระบวนการ “ตั้งค่าบัญชีผู้ดูแลระบบใหม่” ของเซิร์ฟเวอร์เพื่อสร้างผู้ดูแลระบบเพิ่มเติมบน ระบบที่มีอยู่.

สองครั้งดูเหมือนประมาท

ครั้งที่แล้ว General Bytes ประสบกับสิ่งที่คุณอาจเรียกว่าการโจมตีแบบไร้มัลแวร์ โดยที่อาชญากรไม่ได้ฝังโค้ดที่เป็นอันตรายใดๆ

การโจมตีในปี 2022 เกิดขึ้นเพียงผ่านการเปลี่ยนแปลงการกำหนดค่าที่เป็นอันตราย โดยระบบปฏิบัติการและซอฟต์แวร์เซิร์ฟเวอร์พื้นฐานไม่ถูกแตะต้อง

ครั้งนี้ ผู้โจมตีใช้ก วิธีการแบบดั้งเดิมมากขึ้น ที่พึ่งพาการฝัง: ซอฟต์แวร์ที่เป็นอันตรายหรือ มัลแวร์ เรียกสั้นๆ ว่าอัปโหลดผ่านช่องโหว่ด้านความปลอดภัย แล้วใช้เป็นสิ่งที่คุณอาจเรียกว่า "แผงควบคุมทางเลือก"

ในภาษาอังกฤษธรรมดา: พวกมิจฉาชีพพบบั๊กที่อนุญาตให้ติดตั้งประตูหลังเพื่อที่พวกเขาจะได้เข้ามาหลังจากนั้นโดยไม่ได้รับอนุญาต

ดังที่ General Bytes กล่าวไว้:

ผู้โจมตีสามารถอัปโหลดแอปพลิเคชัน Java ของตนเองจากระยะไกลผ่านอินเทอร์เฟซบริการหลักที่เทอร์มินัลใช้ในการอัปโหลดวิดีโอและเรียกใช้งานโดยใช้สิทธิ์ของผู้ใช้ Batm

เราไม่แน่ใจว่าเหตุใด ATM จึงต้องการตัวเลือกการอัปโหลดภาพและวิดีโอจากระยะไกล ราวกับว่ามันเป็นเว็บไซต์บล็อกชุมชนหรือบริการโซเชียลมีเดีย…

…แต่ดูเหมือนว่าระบบ Coin ATM Server จะรวมฟีเจอร์ดังกล่าวไว้เท่านั้น โดยสันนิษฐานว่าโฆษณาและข้อเสนอพิเศษอื่น ๆ สามารถโปรโมตโดยตรงกับลูกค้าที่เยี่ยมชมตู้ ATM

การอัปโหลดที่ไม่ใช่อย่างที่เห็น

ขออภัย เซิร์ฟเวอร์ใดก็ตามที่อนุญาตให้อัปโหลด แม้ว่าเซิร์ฟเวอร์นั้นจะมาจากแหล่งที่เชื่อถือได้ (หรืออย่างน้อยแหล่งที่มาที่ผ่านการรับรองความถูกต้อง) จำเป็นต้องระมัดระวังในหลายๆ สิ่ง:

ต้องเขียนการอัปโหลดลงในพื้นที่จัดเตรียมซึ่งไม่สามารถอ่านได้ทันทีจากภายนอก สิ่งนี้ช่วยให้มั่นใจได้ว่าผู้ใช้ที่ไม่น่าไว้วางใจจะไม่สามารถเปลี่ยนเซิร์ฟเวอร์ของคุณให้เป็นระบบจัดส่งชั่วคราวสำหรับเนื้อหาที่ไม่ได้รับอนุญาตหรือไม่เหมาะสมผ่าน URL ที่ดูถูกต้องเนื่องจากมีลักษณะที่ไม่เหมาะสมต่อแบรนด์ของคุณ
ต้องตรวจสอบการอัปโหลดเพื่อให้แน่ใจว่าตรงกับประเภทไฟล์ที่อนุญาต วิธีนี้ช่วยหยุดผู้ใช้ที่หลอกลวงจากการดักจับพื้นที่อัปโหลดของคุณโดยการทิ้งขยะด้วยสคริปต์หรือโปรแกรมที่อาจลงเอยด้วยการดำเนินการบนเซิร์ฟเวอร์ในภายหลัง แทนที่จะให้บริการแก่ผู้เข้าชมรายต่อไป
ต้องบันทึกการอัปโหลดด้วยสิทธิ์การเข้าถึงที่เข้มงวดที่สุดเท่าที่จะเป็นไปได้ เพื่อไม่ให้ไฟล์ที่ติดกับดักหรือเสียหายไม่สามารถถูกเรียกใช้งานโดยไม่ได้ตั้งใจ หรือแม้แต่เข้าถึงได้จากส่วนที่ปลอดภัยกว่าของระบบ

ดูเหมือนว่า General Bytes ไม่ได้ใช้มาตรการป้องกันเหล่านี้ ส่งผลให้ผู้โจมตีสามารถดำเนินการป้องกันความเป็นส่วนตัวและการริปคริปโตเคอเรนซีได้หลากหลาย

เห็นได้ชัดว่ากิจกรรมที่เป็นอันตรายรวมถึง: การอ่านและถอดรหัสรหัสยืนยันตัวตนที่ใช้เพื่อเข้าถึงเงินใน hot wallets และ exchanges; การส่งเงินจากกระเป๋าเงินร้อน ดาวน์โหลดชื่อผู้ใช้และแฮชรหัสผ่าน การดึงคีย์เข้ารหัสของลูกค้า ปิด 2FA; และการเข้าถึงบันทึกเหตุการณ์

จะทำอย่างไร?

หากคุณใช้งานระบบ General Bytes Coin ATM อ่านข้อมูลของบริษัท รายงานการละเมิดซึ่งจะบอกวิธีค้นหาสิ่งที่เรียกว่า IoCs (ตัวชี้วัดของการประนีประนอม) และสิ่งที่ต้องทำระหว่างรอการเผยแพร่แพตช์

โปรดทราบว่าบริษัทได้ยืนยันว่าทั้งเซิร์ฟเวอร์ Coin ATM แบบสแตนด์อโลนและระบบบนคลาวด์ของบริษัทเอง (ซึ่งคุณจ่าย General Bytes ในอัตรา 0.5% สำหรับธุรกรรมทั้งหมดเพื่อแลกกับเซิร์ฟเวอร์ที่ใช้งานเซิร์ฟเวอร์ให้คุณ) ได้รับผลกระทบ

น่าแปลกใจที่ General Bytes รายงานว่ามันจะเป็น “ปิดบริการคลาวด์”และยืนยันว่า “คุณจะต้องติดตั้งเซิร์ฟเวอร์แบบสแตนด์อโลนของคุณเอง”. (รายงานไม่ได้กำหนดเส้นตาย แต่บริษัทได้ให้การสนับสนุนการย้ายข้อมูลอยู่แล้ว)

ในทิศทางที่จะนำพาบริษัทไปในทิศทางตรงกันข้ามกับบริษัทที่เน้นการบริการร่วมสมัยอื่นๆ ส่วนใหญ่ General Bytes ยืนยันว่า “ในทางทฤษฏี (และในทางปฏิบัติ) เป็นไปไม่ได้เลยที่จะรักษาความปลอดภัยให้กับระบบที่อนุญาตการเข้าถึงแก่โอเปอเรเตอร์หลายรายในเวลาเดียวกัน โดยที่ผู้ดำเนินการบางรายเป็นผู้ดำเนินการที่ไม่ดี”

หากคุณเพิ่งใช้ General Bytes ATM ติดต่อการแลกเปลี่ยนสกุลเงินดิจิตอลของคุณหรือการแลกเปลี่ยนเพื่อขอคำแนะนำเกี่ยวกับสิ่งที่ต้องทำ และไม่ว่าเงินของคุณมีความเสี่ยงหรือไม่

หากคุณเป็นโปรแกรมเมอร์ที่ดูแลบริการออนไลน์ ไม่ว่าจะเป็นการโฮสต์ด้วยตนเองหรือโฮสต์บนคลาวด์ โปรดอ่านและปฏิบัติตามคำแนะนำของเราด้านบนเกี่ยวกับการอัปโหลดและไดเร็กทอรีการอัปโหลด

หากคุณเป็นผู้ที่ชื่นชอบ cryptocurrency เก็บ cryptocoin ของคุณให้น้อยที่สุดเท่าที่จะทำได้ในสิ่งที่เรียกว่า กระเป๋าสตางค์ร้อน.

โดยพื้นฐานแล้ว Hot wallets คือเงินที่พร้อมซื้อขายทันที (บางทีโดยอัตโนมัติ) และโดยทั่วไปแล้วคุณจะต้องมอบหมายคีย์การเข้ารหัสลับของคุณเองให้กับบุคคลอื่น หรือโอนเงินชั่วคราวไปยังกระเป๋าเงินหนึ่งหรือหลายกระเป๋าของพวกเขา

เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
ที่มา: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/

ประทับเวลา: March 20, 2023

ประทับเวลา: กรกฎาคม 10, 2023

เผยแพร่ซ้ำโดยเพลโต

Hushpuppi อีเมลสแกมเมอร์ธุรกิจ “Gucci Master” มีอายุ 11 ปี

Chrome Zero-day: “การหาประโยชน์นี้มีอยู่จริง” โปรดตรวจสอบเวอร์ชันของคุณทันที

นักวิจัยอ้างว่าสามารถข้ามการเข้ารหัส Wi-Fi ได้ (อย่างน้อยสั้นๆ)

VMware แพตช์ break-and-enter ในเครื่องมือบันทึก: อัปเดตทันที!

นักต้มตุ๋น 2FA ของ Facebook กลับมาอีกครั้ง – คราวนี้ในเวลาเพียง 21 นาที

“งูในโหมดเครื่องบิน” – ถ้าโทรศัพท์ของคุณบอกว่าออฟไลน์แต่ไม่ใช่ล่ะ

PyTorch: ชุดเครื่องมือแมชชีนเลิร์นนิงเปิดตัวตั้งแต่คริสต์มาสถึงปีใหม่

ด่วน! Apple แก้ไขช่องโหว่ซีโรเดย์ที่สำคัญใน iPhone, iPad และ Mac

เกี่ยวกับเรา

การค้นหาแนวตั้ง & Ai

ระบบปฏิบัติการ

การติดต่อ

ลงชื่อเข้าใช้