Introduksjon
Originalforfatter: Christopher Rosa
Originaloversettelse: AididiaoJP, Foresight News
Datasett med brukeridentiteter
I løpet av helgen ble det kjent at et massivt datasett med 16 milliarder brukeridentiteter, inkludert både tidligere brudd og nylig stjålet innloggingsdata, begynte å sirkulere på nettet. Det er uklart hvem som oppdaterte datasettet og republiserte det. Selv om mye av databasen er en gjenbruk av tidligere brudd, er det forstyrrende at det ble oppdatert igjen. Datasettet anses som en av de største enkeltinnsamlingene av kompromitterte kontoer noensinne. Hackere bruker disse dataene til å utføre ulike angrep, og jeg har blitt et av deres mål. Phishingangrepet på mine personlige enheter og kontoer den 19. juni var det mest sofistikerte jeg noen gang har møtt i min tiårige karriere innen cybersikkerhet.
Angrepsprosessen
Angriperne skapte først illusjonen av at kontoene mine ble angrepet på flere plattformer, deretter utga de seg for å være ansatte hos Coinbase og tilbød å hjelpe. De kombinerte klassiske sosialtekniske taktikker med koordinerte angrep via tekstmeldinger, telefonsamtaler og falske e-poster, alt designet for å skape en falsk følelse av hastverk, troverdighet og omfang. Rekkevidden og autoriteten til dette falske angrepet var nøkkelen til dets villedende natur.
Røde flagg og beskyttelsestiltak
Nedenfor vil jeg detaljere angrepsprosessen, analysere de røde flaggene jeg la merke til under prosessen, og de beskyttelsestiltakene jeg tok. Samtidig vil jeg dele viktige lærdommer og praktiske forslag for å hjelpe kryptoinvestorer med å holde seg trygge i et stadig mer eskalerende trusselmiljø. Historiske data og nylig lekkede data kan brukes av hackere til å utføre svært målrettede flerkanalsangrep. Dette bekrefter igjen viktigheten av lagdelt sikkerhetsbeskyttelse, klare kommunikasjonsmekanismer for brukere, og strategier for sanntidsrespons.
Angrepet begynner
Angrepet begynte rundt kl. 15:15 ET torsdag med en anonym tekstmelding som sa at noen prøvde å lure mobiloperatører til å gi telefonnummeret mitt til noen andre, en taktikk kjent som SIM swapping. Vennligst merk at denne meldingen ikke er fra et SMS-nummer, men et vanlig 10-sifret telefonnummer. Legitime virksomheter bruker kortkoder for å sende SMS-meldinger. Hvis du mottar en tekstmelding fra et ukjent standardnummer som påstår å være fra en virksomhet, er det mest sannsynlig en svindel eller phishingforsøk.
Falske samtaler og e-poster
Omtrent fem minutter etter å ha mottatt tekstmeldingen, fikk jeg en samtale fra et nummer i California. Den som kalte seg Mason snakket med en ren amerikansk aksent og påsto å være fra Coinbases etterforskningsgruppe. Han sa at det i løpet av de siste 30 minuttene hadde vært mer enn 30 forsøk på å tilbakestille passord og hacke seg inn på kontoer gjennom Coinbases chatvindu. Ifølge Mason hadde den såkalte angriperen bestått det første nivået av sikkerhetsverifisering for tilbakestilling av passord, men feilet på det andre nivået av autentisering.
«Offisielle børser som Coinbase vil aldri proaktivt ringe brukere med mindre du initierer en tjenesteforespørsel gjennom det offisielle nettstedet.»
Falske sikkerhetsprosedyrer
Etter å ha informert meg om de dårlige nyhetene, foreslo Mason å beskytte kontoen min ved å blokkere ytterligere angrepskanaler. Han begynte med API-tilkoblinger og tilknyttede lommebøker, og hevdet at de ville bli tilbakekalt for å redusere risikoen. På dette tidspunktet hadde jeg senket garden, og jeg følte meg til og med beroliget av Coinbases aktive beskyttelse.
Press og hastverk
Så kom det første forsøket på press, ved å skape en følelse av hastverk og sårbarhet. Mason advarte om at 24-timers nedtellingen hadde begynt, og at forfalte kontoer ville bli låst. Opplåsning ville kreve en komplisert og langvarig prosess. I ettertid burde dette argumentet ha vært en åpenbar feil.
Konklusjon og lærdommer
Jeg har oppsummert følgende faresignaler og beskyttelsestips, i håp om å hjelpe kryptoinvestorer med å sikre midlene sine i det nåværende nettverksmiljøet:
- Koordinerte falske alarmer for å skape forvirring og hastverk
- Blanding av kortkoder med vanlige telefonnumre
- Forespørsel om å operere gjennom uoffisielle eller ukjente domenenavn
- Uoppfordrede samtaler og oppfølgingskommunikasjon
- Uoppfordrede nød- og konsekvensvarsler
- Forespørsel om å omgå offisielle kanaler
- Uverifiserte saksnumre eller støttebilletter
- Blanding av ekte og falsk informasjon
- Bruk ekte selskapsnavn i alternative forslag
- Overivrighet uten verifisering
- Aktiver transaksjonsnivåverifisering på børser
- Kontakt alltid tjenesteleverandører gjennom legitime, verifiserte kanaler
- Børsstøtte vil aldri be deg om å flytte, få tilgang til eller beskytte midlene dine
- Vurder å bruke en multisignatur-lommebok eller kald lagringsløsning
- Bokmerk offisielle nettsteder og unngå å klikke på lenker fra uoppfordrede meldinger
- Bruk en passordbehandler for å identifisere mistenkelige nettsteder og opprettholde sterke passord
- Gjennomgå regelmessig tilknyttede apper, API-nøkler og tredjepartsintegrasjoner
- Aktiver sanntidskontovarsler der det er tilgjengelig
- Rapportere alle mistenkelige aktiviteter til tjenesteleverandørens offisielle støtteteam
For finansinstitusjoner, IT-sikkerhetsteam og ledere, fremhever angrepet hvordan historiske data, når de gjenbrukes og kombineres med sanntids sosialteknikk, kan gjøre det mulig for hackere å omgå selv de mest sofistikerte sikkerhetsforsvarene.
