Hackers teriam explorado uma falha na implementação de segurança do 2FA (autenticação em 2 fatores) na plataforma Blinktrade utilizada pela Foxbit, que consistia em reaproveitar o código 2FA obtido da vítima através de phishing por exemplo.
Leandro Trindade sócio e consultor na empresa X15 Tecnologia, que realiza dentre outras consultorias também a parte de segurança de dados, divulgou uma análise técnica referente aos furtos financeiros relatados por usuários da bolsa de criptomoedas brasileira Foxbit.
Hackers teriam explorado uma falha na implementação de segurança do 2FA (autenticação em 2 fatores) na plataforma Blinktrade utilizada pela Foxbit, que consistia em reaproveitar o código 2FA obtido da vítima através de phishing por exemplo, já que a plataforma não invalidava o código quando usado, dando uma janela de tempo de 30 segundos (tempo para o código mudar) para o hacker sacar os bitcoins ou trancar o usuário do lado de fora da conta, assim realizando o saque dos bitcoins posteriormente.
O vídeo abaixo demonstra a falha explorada:
Segundo Leandro, o hacker poderia explorar 3 cenários:
Cenário 1:
- Hacker cria uma página idêntica a da Foxbit e registra um domínio de nome parecido.
- Contrata o serviço de propagandas da Google, AdWords, para aparecer no topo dos resultados em pesquisas (como na imagem do topo deste artigo).
- Vítima cai na página falsa, acreditando estar lidando com a Foxbit e digita suas credenciais e apenas um código 2FA.
- Hacker entra na conta com login, senha e código 2FA capturado pela página falsa, acessa configurações da conta e desabilita o 2FA, logo em seguida ele habilita o 2FA novamente só que utilizando um dispositivo que ele tem controle, assim trancando a vítima fora da conta.
- Após 24 horas o hacker troca todos os reais por bitcoins e retira todo o dinheiro da vítima para uma carteira "irrastreável".
Cenário 2:
- Hacker cria uma página idêntica a da Foxbit com um sistema automatizado de furto e registra um domínio de nome parecido.
- Contrata o serviço de propagandas da Google, AdWords, para aparecer no topo dos resultados em pesquisas (como na imagem do topo deste artigo).
- Vítima cai na página falsa, acreditando estar lidando com a Foxbit e digita suas credenciais e apenas um código 2FA
- Então o sistema automatizado rapidamente dentro dos 30 segundos realiza o saque do saldo da vítima.
- Para impedir o cancelamento do saque, o sistema automatizado acessa configurações da conta e desabilita o 2FA, logo em seguida ele habilita o 2FA novamente tendo assim o controle sob a conta, pois para realizar cancelamento do saque é necessário que a vítima entre na conta e realize cancelamento manualmente.
Cenário 3:
- Hacker cria uma página idêntica a da Foxbit e registra um domínio de nome parecido.
- Contrata o serviço de propagandas da Google, AdWords, para aparecer no topo dos resultados em pesquisas (como na imagem do topo deste artigo).
- Vítima cai na página falsa, acreditando estar lidando com a Foxbit e digita suas credenciais e mais de um código 2FA.
- Hacker utiliza os códigos 2FA posteriores para realizar o saque da conta da vítima sem e-mail de confirmação.
- Hacker entra na conta com login, senha e códigos 2FA capturado pela página falsa, acessa configurações da conta e desabilita o 2FA, logo em seguida ele habilita o 2FA novamente tendo assim o controle sob a conta.
Vale notar que a plataforma utilizada pela Foxbit é também utilizada por outras exchanges de outros países, seu código fonte é público podendo ser acessado clicando aqui.
Em nota a Foxbit, você pode conferir clicando aqui, informou que a plataforma já foi atualizada para evitar os ataques descritos acima. Segundo a empresa agora sempre que realizar login no site será enviado um email para seu email cadastrado na plataforma para autorizar o login. Para saques, um código sempre será enviado para o email cadastrado mesmo que tenha o 2FA configurado. Também não é mais possível desabilitar o 2FA manualmente, portanto é necessário entrar em contato com o suporte para solicitar desativação caso necessite.
COMENTÁRIOS