Introduzione
Autore originale: Christopher Rosa
Traduzione originale: AididiaoJP, Foresight News
Nel fine settimana, è emersa la notizia che un enorme dataset di 16 miliardi di identità utente, che include sia violazioni passate che nuovi dati di accesso rubati, ha iniziato a circolare online. Non è chiaro chi abbia aggiornato il dataset e lo abbia ripubblicato. Sebbene gran parte del database sia una ripetizione di violazioni passate, il fatto che sia stato aggiornato nuovamente è inquietante. Questo dataset è considerato una delle più grandi collezioni singole di account compromessi mai esistite.
Il mio attacco di phishing
Gli hacker stanno utilizzando questi dati per eseguire vari attacchi, e io sono diventato uno dei loro obiettivi. L’attacco di phishing ai miei dispositivi personali e ai miei account del 19 giugno è stato il più sofisticato che abbia mai incontrato nella mia carriera decennale nella cybersecurity. Gli aggressori hanno prima creato l’illusione che i miei account fossero attaccati su più piattaforme, poi si sono spacciati per dipendenti di Coinbase e hanno offerto aiuto. Hanno combinato tattiche classiche di ingegneria sociale con strategie coordinate attraverso messaggi di testo, telefonate e email false, tutte progettate per creare un falso senso di urgenza, credibilità e scala.
Dettagli dell’attacco
La portata e l’autorità di questo attacco falso sono state fondamentali per la sua natura ingannevole. Di seguito dettaglierò il processo dell’attacco, analizzerò i segnali di allerta che ho notato durante il processo e le misure protettive che ho adottato. Allo stesso tempo, condividerò lezioni chiave e suggestioni pratiche per aiutare gli investitori in criptovalute a rimanere al sicuro in un ambiente di minacce in continua escalation.
Segnali di allerta e misure protettive
I dati storici e i dati recentemente trapelati possono essere utilizzati dagli hacker per eseguire attacchi multi-canale altamente mirati. Questo conferma ancora una volta l’importanza della protezione della sicurezza a strati, meccanismi di comunicazione chiari per gli utenti e strategie di risposta in tempo reale. Sia le istituzioni che gli utenti individuali possono trarre vantaggio da strumenti pratici, inclusi protocolli di verifica, abitudini di identificazione dei nomi di dominio e passaggi di risposta, che possono aiutare a prevenire che una momentanea negligenza si trasformi in gravi vulnerabilità di sicurezza.
Il processo dell’attacco
L’attacco è iniziato intorno alle 15:15 ET di giovedì con un messaggio di testo anonimo che affermava che qualcuno stava cercando di ingannare i carrier mobili per dare il mio numero di telefono a qualcun altro, una tattica nota come SIM swapping. Si prega di notare che questo messaggio non proviene da un numero SMS, ma da un normale numero di telefono a 10 cifre. Le aziende legittime utilizzano codici brevi per inviare messaggi SMS. Se ricevi un messaggio di testo da un numero standard sconosciuto che afferma di essere un’azienda, è molto probabile che si tratti di una truffa o di un tentativo di phishing.
I messaggi contenevano anche contraddizioni: il primo messaggio di testo indicava che la violazione era originata nell’area della Baia di San Francisco, mentre un messaggio successivo affermava che era avvenuta ad Amsterdam.
Il SIM swapping è estremamente pericoloso se ha successo, poiché gli aggressori possono ottenere codici di verifica usa e getta che la maggior parte delle aziende utilizza per reimpostare le password o accedere agli account. Tuttavia, questo non era un vero SIM swap, e gli hacker stavano preparando il terreno per una truffa più sofisticata.
Interazione con l’aggressore
L’attacco è poi escalato, e ho iniziato a ricevere codici di verifica usa e getta presumibilmente da Venmo e PayPal, inviati tramite SMS e WhatsApp. Questo mi ha portato a credere che qualcuno stesse cercando di accedere ai miei account su varie piattaforme finanziarie. A differenza dei messaggi SMS sospetti dei carrier, questi codici di verifica provenivano effettivamente da codici brevi che sembravano legittimi.
Circa cinque minuti dopo aver ricevuto il messaggio di testo, ho ricevuto una chiamata da un numero della California. Il chiamante, che si è presentato come Mason, parlava con un accento americano puro e affermava di far parte del team di investigazione di Coinbase. Ha detto che negli ultimi 30 minuti ci sono stati più di 30 tentativi di reimpostare le password e hackerare gli account attraverso la finestra di chat di Coinbase.
Secondo Mason, il cosiddetto attaccante ha superato il primo livello di verifica di sicurezza per la reimpostazione della password, ma ha fallito al secondo livello di autenticazione.
Mi ha detto che l’altra parte poteva fornire le ultime quattro cifre della mia carta d’identità, il numero completo della patente di guida, l’indirizzo di casa e il nome completo, ma non è riuscita a fornire il numero completo della carta d’identità o le ultime quattro cifre della carta bancaria associata all’account Coinbase.
Conclusioni e raccomandazioni
Ho riassunto i seguenti segnali di pericolo e suggerimenti di protezione, sperando di aiutare gli investitori in criptovalute a garantire la sicurezza dei loro fondi nell’attuale ambiente di rete.
- Allarmi falsi coordinati per creare confusione e urgenza
- Mischiare codici brevi con numeri di telefono normali
- Richieste di operare tramite nomi di dominio non ufficiali o sconosciuti
- Chiamate non richieste e comunicazioni di follow-up
- Avvisi di emergenza e conseguenze non richiesti
- Richiesta di bypassare i canali ufficiali
- Numeri di caso o ticket di supporto non verificati
- Mischiare informazioni vere e false
- Utilizzare nomi di aziende reali in proposte alternative
- Eccesso di zelo senza verifica
- Abilitare la verifica a livello di transazione sugli exchange
- Contatta sempre i fornitori di servizi attraverso canali legittimi e verificati
- Il supporto degli exchange non ti chiederà mai di spostare, accedere o proteggere i tuoi fondi
- Considera di utilizzare un portafoglio multi-firma o una soluzione di archiviazione a freddo
- Aggiungi ai segnalibri i siti ufficiali ed evita di cliccare su link provenienti da messaggi non richiesti
- Rivedi regolarmente le app collegate, le chiavi API e le integrazioni di terze parti
- Abilita avvisi in tempo reale per l’account dove disponibile
- Riporta tutte le attività sospette al team di supporto ufficiale del fornitore di servizi
Per le istituzioni finanziarie, i team di sicurezza IT e i dirigenti, l’attacco evidenzia come i dati storici, se riproposti e combinati con l’ingegneria sociale in tempo reale, possano consentire agli hacker di bypassare anche le difese di sicurezza più sofisticate. Non dobbiamo solo proteggere la sicurezza dei sistemi e delle reti, ma anche identificare le minacce e agire per proteggerci.
