Десятилетний опыт экспертов по кибербезопасности: как избежать ловушек фишинговых атак

Введение

Автор: Кристофер Роза Перевод: AididiaoJP, Foresight News

В выходные появились новости о том, что в интернете начал циркулировать огромный набор данных, содержащий 16 миллиардов пользовательских идентификаторов. Этот набор включает как старые утечки, так и недавно украденные данные для входа. Неясно, кто обновил и перепубликовал этот набор данных. Хотя большая часть информации является переработкой прошлых утечек, факт его обновления вызывает серьезные опасения. Этот набор данных считается одним из крупнейших в истории скомпрометированных аккаунтов.

Фишинговая атака

Хакеры используют эти данные для проведения различных атак, и я стал одной из их целей. Фишинговая атака на мои личные устройства и аккаунты 19 июня оказалась самой сложной за мою десятилетнюю карьеру в кибербезопасности. Нападающие сначала создали иллюзию того, что на мои аккаунты осуществляется атака на нескольких платформах, а затем выдали себя за сотрудников Coinbase, предлагая помощь. Они сочетали классические тактики социального инжиниринга с координированными действиями через текстовые сообщения, телефонные звонки и поддельные электронные письма, создавая ложное чувство срочности и доверия.

Процесс атаки

В этой статье я подробно опишу процесс атаки, проанализирую красные флажки, которые я заметил, и защитные меры, которые я предпринял. Я также поделюсь ключевыми уроками и практическими рекомендациями, чтобы помочь криптоинвесторам оставаться в безопасности в условиях постоянно растущей угрозы.

Исторические данные и недавно утекшие данные могут быть использованы хакерами для проведения высоко целевых многоканальных атак.

Это еще раз подтверждает важность многослойной защиты безопасности, четких механизмов коммуникации с пользователями и стратегий реагирования в реальном времени. Как учреждения, так и отдельные пользователи могут извлечь практическую пользу из этого случая, включая протоколы проверки, привычки идентификации доменных имен и шаги реагирования, которые могут помочь предотвратить небрежность от превращения в серьезные уязвимости безопасности.

Начало атаки

Атака началась около 15:15 по восточному времени в четверг с анонимного текстового сообщения, в котором говорилось, что кто-то пытается обмануть мобильных операторов, чтобы передать мой номер телефона кому-то другому — тактика, известная как SIM swapping. Обратите внимание, что это сообщение пришло не от SMS-номера, а от обычного 10-значного телефонного номера. Законные компании используют короткие коды для отправки SMS-сообщений. Если вы получаете текстовое сообщение от неизвестного номера стандартной длины, утверждающего, что он от бизнеса, это, скорее всего, мошенничество или попытка фишинга.

Сообщения также содержали противоречия: первое текстовое сообщение указывало, что утечка произошла в районе залива Сан-Франциско, в то время как последующее сообщение говорило, что это произошло в Амстердаме. SIM swapping крайне опасен, если успешен, так как нападающие могут получить одноразовые коды подтверждения, которые большинство компаний использует для сброса паролей или доступа к аккаунтам. Однако это не была настоящая замена SIM-карты, и хакеры закладывали основу для более сложного мошенничества.

Эскалация атаки

Затем атака усилилась, и я начал получать одноразовые коды подтверждения, якобы от Venmo и PayPal, отправленные через SMS и WhatsApp. Это заставило меня поверить, что кто-то пытается войти в мои аккаунты на различных финансовых платформах. В отличие от подозрительных SMS-сообщений от операторов, эти коды подтверждения действительно пришли от коротких кодов, которые выглядели законными.

Примерно через пять минут после получения текстового сообщения я получил звонок с номера из Калифорнии. Звонивший, который назвался Мейсоном, говорил с чистым американским акцентом и утверждал, что он из команды расследования Coinbase. Он сказал, что за последние 30 минут было более 30 попыток сброса паролей и взлома аккаунтов через окно чата Coinbase. По словам Мейсона, так называемый нападающий прошел первый уровень проверки безопасности для сброса пароля, но не смог пройти второй уровень аутентификации.

Ложные сообщения и давление

Официальные биржи, такие как Coinbase, никогда не будут проактивно звонить пользователям, если вы не инициируете запрос на обслуживание через официальный сайт. После того как он сообщил мне плохие новости, Мейсон предложил защитить мой аккаунт, заблокировав дополнительные каналы атаки. Он начал с API-соединений и связанных кошельков, утверждая, что они будут отозваны для снижения риска.

На этом этапе моя бдительность снизилась, и я даже почувствовал себя успокоенным активной защитой Coinbase. До сих пор Мейсон не просил никакой личной информации, адресов кошельков, кодов двухфакторной проверки или одноразовых паролей, которые обычно являются распространенными запросами от фишеров. Весь процесс взаимодействия был высоко защищенным и профилактическим.

После завершения так называемой проверки безопасности Мейсон заявил, что защита моего аккаунта для подписки Coinbase One была прекращена, потому что мой аккаунт был помечен как высокий риск.

Это означало, что активы моего кошелька Coinbase больше не покрываются страховкой FDIC, и я не смогу получить никакую компенсацию, если нападающий успешно украдет средства. Оглядываясь назад, этот аргумент должен был быть явным недостатком. В отличие от банковских депозитов, криптоактивы никогда не защищены страховкой FDIC.

Заключение

Я обобщил следующие признаки опасности и предложения по защите, надеясь помочь криптоинвесторам обеспечить безопасность своих средств в текущей сетевой среде:

1. Координированные ложные тревоги для создания путаницы и срочности.
2. Смешивание коротких кодов с обычными телефонными номерами.
3. Запросы на операции через неофициальные или незнакомые доменные имена.
4. Нежелательные звонки и последующие коммуникации.
5. Нежелательные предупреждения о чрезвычайных ситуациях и последствиях.
6. Запрос на обход официальных каналов.
7. Неподтвержденные номера дел или запросы на поддержку.
8. Смешивание истинной и ложной информации.
9. Использование реальных названий компаний в альтернативных предложениях.
10. Чрезмерная настойчивость без проверки.
11. Включите проверку на уровне транзакций на биржах.
12. Всегда связывайтесь с поставщиками услуг через законные, проверенные каналы.
13. Поддержка биржи никогда не попросит вас перемещать, получать доступ или защищать ваши средства.
14. Рассмотрите возможность использования мультиподписного кошелька или решения для холодного хранения.
15. Добавьте официальные веб-сайты в закладки и избегайте нажатия на ссылки из нежелательных сообщений.
16. Используйте менеджер паролей для выявления подозрительных сайтов и поддержания надежных паролей.
17. Регулярно проверяйте связанные приложения, ключи API и сторонние интеграции.
18. Включите уведомления о счетах в реальном времени, где это возможно.
19. Сообщайте обо всех подозрительных действиях в официальную службу поддержки поставщика.

Для финансовых учреждений, команд ИТ-безопасности и руководителей атака подчеркивает, как исторические данные, когда они перерабатываются и комбинируются с реальным социальным инжинирингом, могут позволить хакерам обойти даже самые сложные системы безопасности.