先日、BitMEXやbitFlyerで使える自動売買プログラム「ドテン君」に便乗した不正プログラム「ドテンくる」による詐欺被害が報告されました。
「ドテンくる」という、ドテン君のポジションをリアルタイムに教えてくれるGooglechrome(グーグルクローム)の拡張プラグインが詐欺であるということが報告されました。
bitflyer bitmexの全サイトの自分のデータの読み取りと変更と、いう内容が含まれており送金のアドレス部分(文字列の部分)が書き換わってる事例が何件か発生しているとのこと。
入れてる人は即座にアンインストール推奨です!
「ドテンくる」の詐欺手口は
「ドテンくる」が使っているjquery.jsは公式サイト本家のものを変更して入金のQRコードとアドレスを書き換えるコードが仕込まれていました。
「ドテンくる」の被害者は26人、被害額4.5btc以上と言われています。(BTCアドレスのトランザクションから)
画像のソースコードの部分をスクリプトを呼び出してすり替えてるようです。
犯人(開発者)は詐欺がばれた時点で急いでソースコードを書き直して証拠隠滅を図ろうとしたみたいですが。
BitMEX公式アカウントも注意喚起している
ビットフライヤーやBitMEX公式(日本語版)も注意喚起ツイートする事態に。
ちなみにBitMEXの公式日本語アカウントは今はないです、英語版のみです。
BitMEX公式(日本語版)アカウント
ビットフライヤー公式アカウント
「ドテンくる」インストール後表示アドレスが書き換えられる
QRコードは改変されておらず、アドレス文字列だけが変更されていたようです。
BitMEX取引所の場合は、入金用アドレスは必ず「3BMEX~」から始まるアドレスとなっています(BitMEXのビットコインアドレスの特徴)。
画像のソースコード部分をすり替えられる
なので、疑ってよく見てみないとまったく疑いもせず送金してしまうことになります。
その結果、送金したビットコインは犯人(ドテン君開発者)の懐の中に…
※QRコード経由は正規のアドレスだったようですが、今後同じような手口でQRコードも書き換えられるものが現れないとも限らないので注意しましょう
ビットフライヤーの方はethやbchなどアルトコインのアドレスも書き換えられていたようです。
「ドテンくる」詐欺被害の状況
入金アドレスがこれに変わってたら「ドテンくる」に書き換えられてるから、確認してすぐドテンくるを削除してください。
自分のがなってて焦った。とのこと。
安易なGooglechrome拡張のインストールは注意しよう
「ドテンくる」を追加しますか?
次の権限にアクセス可能~
この画面で「拡張機能を追加」を選択すると書き換わるスクリプトが実行されてしまいます。
とはいえ、どのGoogleクローム拡張をインストールしても同じダイアログが表示されるので、クローム拡張をインストールする場合は、
そのプログラムはまともなものなのか?
ちゃんと公式が出しているものなのか?(なりすましではないか?)
をネットの評判やレビューの欄をよく見て確認するようにしてください。
「ドテンくる」をインストールしてしまっていたら?
「ドテンくる」をクローム拡張からアンインストールすれば書き換えられていたアドレスも元に戻るようです。他に必要な操作はありません。
アンインストール方法は、GoogleChromeブラウザの右上にあるアイコンを右クリック。Chromeから削除を選択するだけです。
Chromeからアンインストール
GRコードは書き換えられていません。
テキスト部分のアドレスだけが書きかえられています。
ドテンくるを削除して、BitMEXの入金口座を確認しましょう。
じゃなくなっていれば大丈夫です。
念のため、過去にbitFlyerなど外部に送金したアドレス履歴なども確認して書き換えられていないか確認しましょう。
「ドテン君」開発者が報奨金付きで犯人特定に乗り出す
ドテンくるフィッシングの件で、犯人逮捕・資金奪還に結びつく結果を残したホワイトハッカー様には、個人的に、10万円+RT数 x 100円の懸賞金(報奨金)を出します。
なんらかの手段で騒がないと、おそらく捜査は進まない。とのこと。
懸賞金をかけてハッカー拿捕に協力してもらうということは、これまでにもBinanceなどの取引所が実施していました。いい取り組みですね。
犯人の追跡は意外と難しい
ドテンくるの件で警察に相談に行った方もいるようです。
ただし、犯人がVPNやTorなどの特定回避策やダークネットを駆使していたら追うのが困難になるようです。
禁止国からのアクセスや、違法な薬物などを売買されるときにも使われるやつですね。
Chromeストアのクレカ・Vプリカから辿れるのでは?という意見あり捜査したそうですが、それもMonero決済で購入した匿名VISAデビットなど(海外でのみ購入可能)を使用していれば追跡不可能なようです。
そこまで対策して追跡できないようにしていたとすれば、巧妙な知能犯ですね…。
報奨金が2倍に積み増しされ、細かい要件が追加されました。
1)警察にメールで情報提供を行うこと。
2)送信時にCcに doten.higai@gmail.com を含める、または事後でいいので転送する。
3)逮捕時、最も捜査進展に貢献した情報の提供者に対し、指定口座にBTC送金。送金履歴はみんなに開示。
4)【追記】送金は逮捕後14日以内。
とのことです。
犯人は「クリプトかえる」というアカウント
このカエル野郎が犯人です。
今はツイッターアカウントを消しています。(Githubやreditのアカウントも同時に削除したようです)
タイミング的に完全に黒でしょう。
他のBitMEXクローム拡張アプリも詐欺スクリプトが発覚
ドテンくる作者が作成した他のクローム拡張アプリも同様のスクリプトが仕込まれていたことが確認されたため、利用を直ちに止めてアンインストールしましょう。
ドテンくる作者の提供アプリで判明しているのが下記。
- 仮想通貨 詐欺サイトブロック
- bitflyer BTC-FX リアルタイム価格ティッカー
- BitMEX XBT リアルタイム価格ティッカー
- bitflyer BTC リアルタイム価格ティッカー
ドテンくる以外のGooglechrome(グーグルクローム)の拡張プラグインにも同様の細工があったとのことです。
今回の「ドテンくる」作者に限らずクローム拡張の利用は本当に気をつけましょう。
スクリプトが実行されなかった人もいる
パソコンの環境設定か何かでスクリプトが実行されず詐欺被害を免れている人もいました。
ちなみに今は不正なソフトウェアだと認識されて、ブラウザから自動で無効化になり、アプリストアからも削除されています。
詐欺師に騙されないで!
本来アクセス権限なんてなくてもこのツール動作するよね?という疑問があるものはすべて疑ってかかりましょう。
仮想通貨取引所やウォレットに関連するプラグインは特に詐欺に注意しないといけません。
詐欺師的にもリターンが大きなものは巧妙に作りこんでくるでしょうから、ツールやログインは公式のものしか使わないようにしましょう。
当サイトからの発リンクは公式のものや問題のあるものでないか何度も確かめてから掲載しているので安心して下さい。
よくみればすぐにわかることなんですが、例えばBitMEX公式のアドレスは「https://www.bitmex.com/~」です。
間に「-(ハイフン)」とか入っているもの(bit-mexとか)は偽サイトなので注意しましょう。
まとめ
「ドテンくる」の詐欺被害から、BitMEX詐欺被害に合わない為に。googlechrome拡張は危険なのか?というテーマについて纏めてみました。
googlechrome拡張(グーグルクローム拡張)に悪意のあるスクリプトが仕込まれている、ということはたまにあるそうです。
発覚次第グーグルストア公式が削除してくれますが、見つからなければそのまま公開されているままになっているでしょう。
今回はツイッターで、詐欺スクリプトを発見した方がたまたまいたからこうして注意喚起できますが、今でも未発見の詐欺プラグインがどこかにある可能性は十分にあります。
権限の譲渡を施してくるツールには常に警戒しましょう。
コメント欄