Cyberprzestępcy coraz częściej wykorzystują nie tylko luki w systemach, ale też zwykłe zaufanie użytkowników do popularnych rozszerzeń przeglądarki. Najnowszy przykład pokazuje, jak łatwo można ukryć złośliwe oprogramowanie pod pozorem prostego narzędzia do notatek w ekosystemie Chromium. W praktyce taki dodatek może wyglądać całkowicie niewinnie, a mimo to przejąć kontrolę nad kopiowanymi adresami kryptowalut.
Fałszywa aplikacja do notatek jako przykrywka
Badacze bezpieczeństwa zwrócili uwagę na rozszerzenie nazwane Silent Swap, które udaje zwykłe Google Notes. Na pierwszy rzut oka użytkownik widzi prosty interfejs do tworzenia i zapisywania notatek, z możliwością oznaczania ich kolorami i wyszukiwania zapisanych wpisów. To właśnie ta normalność ma uśpić czujność.
Problem w tym, że cały ten interfejs jest tylko przykrywką. Złośliwy kod został zaprojektowany po to, by działać w tle i podmieniać dane związane z transakcjami kryptowalutowymi. W efekcie ofiara korzysta z narzędzia, które wydaje się użyteczne, ale jednocześnie staje się celem ataku.
Jak działa atak na schowek
Silent Swap działa jak klasyczny clipboard jacker, czyli malware podmieniajacy zawartość schowka. Program obserwuje, czy użytkownik skopiował ciąg przypominający adres portfela kryptowalutowego. Gdy taki wzór zostanie wykryty, rozszerzenie automatycznie zamienia go na adres kontrolowany przez atakującego.
Dla użytkownika proces wygląda zupełnie normalnie. Kopiuje adres z jednego miejsca, wkleja go w portfelu lub na giełdzie, a dopiero po czasie okazuje się, że środki trafiły nie tam, gdzie powinny. To szczególnie groźne, ponieważ adresy kryptowalut są długie, trudne do zapamiętania i zazwyczaj weryfikuje się je właśnie przez kopiowanie.
Dlaczego kryptowaluty są tak podatne na ten typ oszustwa
Przelewy krypto są wyjątkowo wrażliwe na błędy, bo w większości przypadków nie da się ich cofnąć. Jeśli pieniądze zostaną wysłane na zły adres, odzyskanie ich jest bardzo trudne albo wręcz niemożliwe. W praktyce oznacza to, że pojedyncze kliknięcie może prowadzić do trwałej utraty środków.
Szansę na odzyskanie pieniędzy można mieć głównie wtedy, gdy transakcja wychodzi z centralizowanej giełdy i ofiara bardzo szybko zauważy problem. Wówczas da się jeszcze próbować kontaktu z obsługą i blokady operacji. Poza takimi przypadkami odzyskanie kryptowalut jest zwykle niezwykle mało realne.
Warto pamiętać, że takie ataki nie wymagają spektakularnych technik, bo opierają się na prostym błędzie człowieka. To właśnie codzienne nawyki, jak kopiowanie i wklejanie adresów, są dla cyberprzestępców najłatwiejszym celem. Im bardziej ufamy wygodnym skrótom, tym łatwiej coś przeoczyć.
Skąd bierze się zagrożenie
Według badaczy z McAfee, złośliwe rozszerzenie najpewniej trafia do użytkowników przez phishing, social engineering albo podejrzane fora i strony internetowe. To ważne, bo wiele osób nadal zakłada, że dodatki do przeglądarki są z definicji bezpieczne. Tymczasem cyberprzestępcy coraz częściej pakują malware w pozornie przydatne aplikacje.
Tego typu kampanie są skuteczne właśnie dlatego, że wykorzystują codzienne przyzwyczajenia użytkowników. Jeśli coś wygląda znajomo i działa tak, jak powinno, łatwo stracić czujność. A to wystarczy, by złośliwy kod zdążył wykonać swoją pracę.
Zobacz także: Przechowywanie haseł w przeglądarkach – oto, jak zrobić to bezpieczniej według ekspertów.
Jak się bronić przed podmianą adresu
Najprostsza zasada brzmi: nie ufaj bezmyślnie temu, co wkleiłeś ze schowka. Zanim zatwierdzisz transakcję, porównaj cały adres z oryginałem, a nie tylko jego początek i koniec. To ważne, bo niektóre złośliwe rozszerzenia potrafią generować adresy różniące się tylko kilkoma znakami.
Warto też ograniczać instalowanie dodatków wyłącznie do sprawdzonych źródeł i regularnie przeglądać listę rozszerzeń w przeglądarce. Jeśli coś nie jest potrzebne, najlepiej to usunąć. Dodatkowa ostrożność przy kopiowaniu i wklejaniu adresów może oszczędzić bardzo kosztownej pomyłki.
Co zapamiętać
Silent Swap to kolejny dowód na to, że cyberzagrożenia nie muszą wyglądać groźnie, by były skuteczne. Często najniebezpieczniejsze okazują się narzędzia, które sprawiają wrażenie całkowicie nieszkodliwych. W przypadku kryptowalut nawet drobny błąd może oznaczać bezpowrotną utratę pieniędzy.
Jeśli korzystasz z crypto na co dzień, ostrożność powinna być standardem, a nie wyjątkiem. Sprawdzanie adresów, kontrola rozszerzeń i unikanie podejrzanych źródeł to dziś absolutna podstawa. W świecie, w którym jedno złośliwe kliknięcie może kosztować fortunę, lepiej poświęcić kilka sekund na weryfikację niż później żałować całej transakcji.


Co za absurdalne oszustwo! Nie mogę uwierzyć, że ludzie dają się nabrać na takie proste triki. Rozszerzenia do przeglądarek są często niby takie niewinne, a potem wychodzi, że to tylko przykrywka. Przy większych kwotach w krypto, każda ostrożność jest wskazana. Oby więcej osób zaczęło sprawdzać to, co instalują i uważnie weryfikować adresy. Lepiej być mądrym przed szkodą!
Złamałam się, nie mogę zrozumieć, czemu ludzie ciągle instalują dziwne rozszerzenia. Przecież to zawsze będzie ryzykowne, a ci od Silent Swap na pewno znają co robią. Z drugiej strony, co z tego, że niektórzy są ostrożni, jak inni będą kopiować i wkładać bez zastanowienia… A później lament, że stracili wszystkie krypto. Osobiście trzymam swoje na giełdzie, bo tam przynajmniej nie muszę się martwić o takie 'niespodzianki’.