Киберпреступность и новые методы атак
Киберпреступники формируют команды профессиональных имитаторов голосов для нацеливания на высокопрофильных криптоэкспертов в США с помощью сложных телефонных атак социальной инженерии. Операторы таких атак могут зарабатывать до $20 000 в месяц в рамках кампаний, которые исследователи называют «вишингом».
Организованные преступные предприятия
Новый отчет компании GK8, изученный Decrypt, показывает, как злоумышленники вышли за рамки традиционных фишинговых писем и создали организованные преступные предприятия, нацеленные на крипто-лидеров с помощью персонализированных голосовых и видеокампаний. Атаки используют курируемые наборы данных о руководителях, имитацию голосов и профессиональную инфраструктуру для эксплуатации людей, которые защищают инфраструктуру хранения и частные ключи, что увеличивает риск «крупномасштабной кражи криптовалюты».
Поиск квалифицированных «звонящих»
В июне исследователи GK8 обнаружили объявления о наборе на закрытых подпольных форумах, где опытные злоумышленники искали квалифицированных «звонящих» для выполнения целевых атак на старших руководителей ведущих криптофирм США. Объявления включали образцы списков целей, содержащие пять криптоэкспертов, включая старших юридических сотрудников, инженеров, финансовых контролеров и технических директоров, все с минимальным состоянием около $500 000.
«Мы подтвердили репутацию злоумышленников на этих форумах, изучив рекомендации, заявления, рейтинги, дату создания аккаунта продавца и репутацию форума», — рассказала Татьяна Беккер, руководитель отдела исследований GK8, в интервью Decrypt.
Современные методы атак
«По словам злоумышленников, эти данные поступают из свежих компрометаций», — добавила Беккер о наборах данных о руководителях, которые движут этими кампаниями. В отличие от традиционных фишинговых писем, Беккер отметила, что современные кампании «вишинга» являются «высоко целевыми и персонализированными» и сосредоточены на «высококвалифицированных криптоэкспертах и профессионалах с привилегированным доступом».
«Они используют имитацию голосов и видео, контент с глубокими подделками и тщательно подобранные предлоги на основе детализированных наборов данных о жертвах», — добавила она.
Финансовые аспекты и организация атак
Сообщается, что злоумышленники используют системы Voice over Internet Protocol, номера прямого внутреннего набора и возможности SMS для имитации банков, криптоуслуг и государственных учреждений. Посты на форумах показывают компенсацию от $15 за 20-минутный звонок до более чем $20 000 в месяц для опытных операторов, согласно отчету.
«Мы наблюдаем, что некоторые операторы работают на долгосрочной основе, создавая организованные группы, которые функционируют как профессиональная мошенническая индустрия», — отметила Беккер в интервью Decrypt.
Глобальные угрозы и рекомендации
Хотя конкретный случай, рассмотренный в отчете, был сосредоточен на руководителях США, она отметила, что аналогичные кампании действуют в Германии, Великобритании и Австралии. Недавние инциденты указывают на более широкий спектр угроз социальной инженерии, с которыми сталкивается криптоиндустрия.
Оперативники Северной Кореи создали поддельные компании и использовали глубокие подделки во время собеседований, чтобы проникнуть в криптофирмы, при этом злоумышленники украли $1,34 миллиарда в 47 инцидентах только в 2024 году.
Джимми Су, главный специалист по безопасности Binance, ранее сообщил Decrypt, что его биржа ежедневно получает поддельные резюме от подозреваемых северокорейских атакующих, которые теперь используют «изменители голоса во время своих собеседований», а видео было глубоким подделкой.
Будущее атак и меры защиты
Отчет GK8 документирует, как злоумышленники смещают фокус с массовых фишинговых кампаний на нацеливание «качества над количеством». В течение следующих 12-18 месяцев Беккер предупредила, что атаки станут более сложными, так как «различать подделку и реальность станет все труднее».
Она рекомендовала руководителям «предположить, что их личная информация уже была раскрыта» и убедиться, что «высококвалифицированные транзакции не должны подтверждаться одним человеком».
«Социальная инженерия процветает на человеческой ошибке», — подчеркнула Беккер, добавив, что компаниям нужны «специфические протоколы и обучение по тактикам голосовой и видеосоциальной инженерии».
«С учетом роста высоко персонализированных мошенничеств компании должны принять, что даже самые надежные инсайдеры могут быть обмануты», — заключила она. «Разделите роли и частные ключи, чтобы ни один человек не имел полной подписи».
Отчет GK8 показывает, что злоумышленники указывают детализированные критерии набора для звонящих, включая предпочтения акцента, выбор пола, языковые возможности и доступность по временным зонам, чтобы соответствовать конкретным профилям целей и максимизировать вовлеченность жертв в часы пик.
