更新(7月7日午後9時33分 UTC):この記事は、Coinbase の回答を含めるように更新されました。

コインベースのユーザーはここ数週間、同社のサービスやアプリケーションに関わる詐欺やフィッシング攻撃をツイッターで報告しており、詐欺師が暗号通貨取引所のドメイン名を利用しているという主張も含まれている。

最新の事例は、ダニエル・メイソンと特定されるTwitterユーザーによって7月7日に明らかにされたもので、同氏はCoinbase.comドメインのリンクを含む詐欺師からのテキストメッセージやメールを受け取ったとされている。

詐欺師は実際の電話番号を使用してメイソン氏に連絡し、Coinbase.com ドメインからの電子メールを送信し、続いてフィッシング テキスト メッセージで Coinbase サブドメインの URL に誘導し、メイソン氏の住所、社会保障番号、運転免許証番号を確認しました。

私はアイデンティティ/セキュリティ会社を設立しました。現在は認証会社を構築中です。しかし、私の Coinbase アカウントはフィッシングされそうになりました。これは私が個人的に経験した中で (2 番目に) 最も正当な詐欺攻撃です。以下にワイルドなストーリーを記します。

— ダニエル・メイソン(来週のSF)(@dgmason)2023年7月7日

メイソン氏が指摘するように、詐欺師は流暢な英語を話すネイティブスピーカーだった。詐欺師は電話で、メイソン氏のアカウントが侵害されたとされる件について Coinbase からメールが届くだろうと言ったと伝えられている。すぐに help@coinbase.com からメールが届いた。「彼は私に代わってケースを作成したのか? それとも Coinbase のメールサーバーにアクセスしたのか?」とメイソン氏は Twitter でコメントした。

メイソン氏の経験は、ソーシャルメディアプラットフォーム上で報告されている、暗号通貨取引所に関わるセキュリティインシデントの多くのうちの1つだ。Coinbaseのサポートページをざっと見ると、Coinbase Walletでのフィッシングや同社のウェブアドレスを利用した犯罪者など、さまざまな種類の詐欺についてユーザーが苦情を述べているのがわかる。

コインテレグラフは、同様の手口の被害者と話をした。匿名を希望したこの人物は、ユーザーのアカウントが侵害されたというメールの信憑性を確認するために、コインベースのサポートラインに電話したと主張している。その後、従業員はそれが実際のやり取りであったことを確認したが、メールはハッカーの仕業だった。

「コインベースの従業員がハッカーをコインベースの従業員だと認証し、ハッカーは私の仮想通貨を盗みました。その後、目撃者、電話の日時、話した従業員がいたにもかかわらず、彼らは私をだまし、責任を取らなかったのです」と被害者は語った。この事件は現在訴訟中である。被害者は凍結および盗難された資金のうち、およそ5万ドルの資産を失ったと主張している。

これらの報告は、Twitterユーザーのジェイコブ・キャンフィールド氏への攻撃と同じパターンをたどっている。キャンフィールド氏は6月13日に詐欺師からテキストメッセージと電話を受け、2要素認証(2FA)が変更されたと伝えられている。

なんてこった。私は今まで見た中で最も複雑な#crypto詐欺の 1 つに襲われた。@coinbase を使っている人は読んでください。これは 15 分前に起こったことです。これはすべての COINBASE ユーザーへの警告です。何らかのデータ侵害がありました。まず、私は… pic.twitter.com/aOVWLpAtY4

— ジェイコブ・キャンフィールド(@JacobCanfield)2023年6月13日

「その後、48時間のアカウント停止を回避するために、アカウントを確認するために私を「セキュリティ」チームに送りました。彼らは私の名前、メールアドレス、所在地を知っており、help@coinbase.comから私の個人メールアドレスに「確認コード」のメールを送信しました」とキャンフィールド氏は説明し、コードは送信されないと告げられると、犯人は「怒って電話を切った」と付け加えた。

help@coinbase.com というメールアドレスは、取引所のサポートページに信頼できる公式アドレスとして記載されています。同社のブログには、スタッフがユーザーにパスワードや2段階認証コードを尋ねたり、デバイスへのリモートアクセスを要求したりすることは決してないとも記載されています。

コインテレグラフへの声明で、コインベースは「フィッシング攻撃や詐欺の防止について顧客を教育するための広範なセキュリティリソースを備えている。当社は国際法執行機関と連携し、コインベースの顧客を詐欺する者は法律で最大限に訴追されるように努めている」と述べた。

セキュリティ専門家は、暗号通貨アカウントには強力で固有のパスワードを使用し、アプリケーションで 2FA を有効にすることを推奨しています。

雑誌: ポップコーン缶に34億ドル相当のビットコイン — シルクロードのハッカーの物語