Introduktion
Originalforfatter: Christoper Rosa
Originaloversættelse: AididiaoJP, Foresight News
I weekenden brød nyheden om, at et massivt datasæt med 16 milliarder brugeridentiteter, herunder både tidligere brud og nyligt stjålne loginoplysninger, begyndte at cirkulere online. Det er uklart, hvem der har opdateret datasættet og genudgivet det. Selvom meget af databasen er en genhash af tidligere brud, er det foruroligende, at det blev opdateret igen. Datasættet betragtes som en af de største enkeltindsamlinger af kompromitterede konti nogensinde.
Phishingangrebet
Hackere bruger disse data til at udføre forskellige angreb, og jeg er blevet et af deres mål. Phishingangrebet på mine personlige enheder og konti den 19. juni var det mest sofistikerede, jeg nogensinde har mødt i min tiårige karriere inden for cybersikkerhed. Angriberne skabte først illusionen om, at mine konti blev angrebet på flere platforme, og udgav sig derefter for at være medarbejdere fra Coinbase og tilbød at hjælpe.
De kombinerede klassiske social engineering-taktikker med koordinerede angreb via tekstbeskeder, telefonopkald og falske e-mails, alt sammen designet til at skabe en falsk følelse af hastværk, troværdighed og omfang. Rækkevidden og autoriteten af dette falske angreb var nøglen til dets vildledende natur.
Angrebsprocessen
Nedenfor vil jeg detaljere angrebsprocessen, analysere de røde flag, jeg bemærkede undervejs, og de beskyttelsesforanstaltninger, jeg tog. Samtidig vil jeg dele vigtige lektioner og praktiske forslag for at hjælpe kryptoinvestorer med at forblive sikre i et stadigt eskalerende trusselmiljø.
Historiske data og nyligt lækkede data kan bruges af hackere til at udføre højt målrettede multi-kanal angreb. Dette bekræfter endnu en gang vigtigheden af lagdelt sikkerhedsbeskyttelse, klare brugerkommunikationsmekanismer og realtidsresponsstrategier.
Angrebets begyndelse
Angrebet begyndte omkring kl. 15:15 ET torsdag med en anonym tekstbesked, der sagde, at nogen forsøgte at narre mobiludbydere til at give mit telefonnummer til en anden, en taktik kendt som SIM swapping. Bemærk venligst, at denne besked ikke er fra et SMS-nummer, men et almindeligt 10-cifret telefonnummer. Legitime virksomheder bruger kortkoder til at sende SMS-beskeder. Hvis du modtager en tekstbesked fra et ukendt standardlængdenummer, der hævder at være fra en virksomhed, er det højst sandsynligt en svindel eller phishingforsøg.
Beskrivelserne indeholdt også modsigelser: Den første tekstbesked indikerede, at bruddet stammede fra San Francisco Bay Area, mens en efterfølgende besked sagde, at det skete i Amsterdam. SIM swapping er ekstremt farligt, hvis det lykkes, da angribere kan få engangsverifikationskoder, som de fleste virksomheder bruger til at nulstille adgangskoder eller få adgang til konti. Men dette var ikke et reelt SIM swap, og hackere lagde grunden til en mere sofistikeret svindel.
Angrebets eskalering
Angrebet eskalerede derefter, og jeg begyndte at modtage engangsverifikationskoder, der angiveligt kom fra Venmo og PayPal, sendt via SMS og WhatsApp. Dette fik mig til at tro, at nogen forsøgte at logge ind på mine konti på forskellige finansielle platforme. I modsætning til mistænkelige carrier SMS-beskeder kom disse verifikationskoder fra kortkoder, der så legitime ud.
Cirka fem minutter efter at have modtaget tekstbeskeden, modtog jeg et opkald fra et Californisk nummer. Den, der kaldte sig Mason, talte med en ren amerikansk accent og hævdede at være fra Coinbase efterforskningsteamet. Han sagde, at der i de sidste 30 minutter havde været mere end 30 forsøg på at nulstille adgangskoder og hacke ind i konti gennem Coinbase chatvinduet.
Officielle børser som Coinbase vil aldrig proaktivt ringe til brugere, medmindre du initierer en serviceanmodning gennem den officielle hjemmeside.
Falske sikkerhedsforanstaltninger
Efter at have informeret mig om de dårlige nyheder, foreslog Mason at beskytte min konto ved at blokere yderligere angrebsveje. Han startede med API-forbindelser og tilknyttede tegnebøger og hævdede, at de ville blive tilbagekaldt for at reducere risikoen. Han listede flere forbindelser, herunder Bitstamp, TradingView, MetaMask tegnebøger osv., nogle af dem genkendte jeg ikke, men jeg antog, at jeg måske havde oprettet dem og glemt dem.
På dette tidspunkt var mit forsvar blevet sænket, og jeg følte mig endda beroliget af Coinbases aktive beskyttelse. Indtil nu havde Mason ikke bedt om nogen personlige oplysninger, tegnebogadresser, to-faktor verifikationskoder eller engangskoder, som normalt er almindelige anmodninger fra phishere. Hele interaktionsprocessen virkede meget sikker og forebyggende.
Følelsen af hastværk
Så kom det første forsøg på pres ved at skabe en følelse af hastværk og sårbarhed. Efter at have gennemført den såkaldte sikkerhedskontrol, hævdede Mason, at min kontobeskyttelse for Coinbase One-abonnementsservicen var blevet afsluttet, fordi min konto var blevet markeret som høj risiko. Dette betød, at mine Coinbase-tegnebogsaktiver ikke længere var dækket af FDIC-forsikring, og jeg ville ikke kunne modtage nogen kompensation, hvis angriberen lykkedes med at stjæle midlerne.
I retrospektiv burde dette argument have været en åbenlys fejl. I modsætning til bankindskud er kryptovalutaaktiver aldrig beskyttet af FDIC-forsikring, og mens Coinbase måske holder kundernes dollars i FDIC-forsikrede banker, er børsen selv ikke en forsikret institution.
Afslutning og anbefalinger
For finansielle institutioner, IT-sikkerhedsteams og ledere fremhæver angrebet, hvordan historiske data, når de genbruges og kombineres med realtids social engineering, kan gøre det muligt for hackere at omgå selv de mest sofistikerede sikkerhedsdefensiver. Trusselaktører stoler ikke længere kun på brute force-angreb, men udfører i stedet koordinerede tværkanalstrategier for at opnå tillid og narre brugere ved at efterligne legitime arbejdsgange.
Vi må ikke kun beskytte system- og netværkssikkerhed, men også identificere trusler og handle for at beskytte os selv. Uanset om man arbejder i et kryptoagentur eller administrerer kryptoaktiver derhjemme, skal alle forstå, hvordan personlige sikkerhedssårbarheder kan udvikle sig til systemiske risici.
For at beskytte mod disse trusler skal organisationer lagdele forsvar som domænenavnsmonitorering, adaptiv autentifikation, multifaktorautentifikation for at forhindre phishing og klare kommunikationsprotokoller. Det er også vigtigt, at virksomheder dyrker en kultur af cybersikkerhedslæsepligt, så hver medarbejder, fra ingeniører til ledere, forstår deres rolle i at beskytte virksomheden. I dagens miljø er sikkerhed ikke kun en teknisk funktion, men også et ansvar, der skal deles af enkeltpersoner og hele organisationen.
