Złośliwi aktorzy Darknetu współpracują, aby ukraść Twoje kryptowaluty. Oto jak — Binance CSO

Według dyrektora ds. bezpieczeństwa Binance, w najciemniejszych zakamarkach darknetu czai się „dobrze ugruntowany” ekosystem hakerów, którzy atakują użytkowników kryptowalut o słabej „higienie bezpieczeństwa”.
W rozmowie z Cointelegraph, dyrektor ds. bezpieczeństwa Binance Jimmy Su powiedział, że w ostatnich latach hakerzy skierowali swoją uwagę w stronę użytkowników kryptowalut.
Su zauważył, że gdy Binance po raz pierwszy otworzył się w lipcu 2017 r., zespół widział wiele prób włamań do swojej wewnętrznej sieci. Jednak w miarę jak giełdy kryptowalut nadal wzmacniały swoje bezpieczeństwo, uwaga przesunęła się.
Oszustwa phishingowe są szczególnie powszechne w wiadomościach e-mail. Są one wykorzystywane do zbierania poufnych informacji poprzez podszywanie się pod kogoś, komu ufasz. Skorzystaj z poniższego bloga, aby dowiedzieć się, jak chronić się przed tego typu oszustwami. https://t.co/UtKBvR52lX
— Binance (@binance) 4 lipca 2023 r.
„Hakerzy zawsze wybierają najniższy poziom, aby osiągnąć swoje cele, ponieważ dla nich to również biznes. Społeczność hakerów to dobrze ugruntowany ekosystem”.
Według Su ekosystem ten składa się z czterech odrębnych warstw: zbieraczy informacji wywiadowczych, rafinerów danych, hakerów i osób piorących pieniądze.
Zbieracze danych
Najbardziej upstreamową warstwą jest to, co Su opisał jako „wywiad zagrożeń”. Tutaj źli aktorzy zbierają i zestawiają nielegalnie zdobyte informacje o użytkownikach kryptowalut, tworząc całe arkusze kalkulacyjne wypełnione szczegółami na temat różnych użytkowników.
Może to obejmować strony internetowe o kryptowalutach, które użytkownik odwiedza, używane przez niego adresy e-mail, jego imię i nazwisko oraz to, czy korzysta z Telegrama lub mediów społecznościowych.
„W darknecie istnieje rynek, na którym sprzedaje się takie informacje [...], które opisują użytkownika” – wyjaśnił Su w wywiadzie z maja.
Su zauważył, że takie informacje są zwykle gromadzone hurtowo, np. w wyniku wcześniejszych wycieków danych klientów lub ataków hakerskich wymierzonych w innych dostawców lub platformy.
Pracownik naszego dostawcy poczty e-mail, https://t.co/6vM4WAcJal, nadużył dostępu pracowniczego do pobierania i udostępniania adresów e-mail nieautoryzowanej stronie zewnętrznej. Adresy e-mail dostarczone do OpenSea przez użytkowników lub subskrybentów newslettera zostały naruszone.https://t.co/Osb6qqkqZZ
— OpenSea (@opensea) 30 czerwca 2022 r.
W kwietniu praca badawcza Privacy Affairs ujawniła, że ​​cyberprzestępcy sprzedają zhakowane konta kryptowalutowe za jedyne 30 USD za sztukę. Sfałszowaną dokumentację, często wykorzystywaną przez hakerów do otwierania kont na stronach handlu kryptowalutami, można również kupić w dark webie.
Rafinerie danych
Według Su zebrane dane są następnie sprzedawane innej grupie, zazwyczaj składającej się z inżynierów danych specjalizujących się w udoskonalaniu danych.
„Na przykład w zeszłym roku istniał zbiór danych dla użytkowników Twittera. [...] Na podstawie informacji tam zawartych mogą oni dalej je udoskonalać, aby zobaczyć na podstawie tweetów, które z nich są faktycznie związane z kryptowalutami”.
Następnie inżynierowie danych użyją „skryptów i botów”, aby ustalić, na których giełdach może być zarejestrowany entuzjasta kryptowalut.
Robią to, próbując utworzyć konto z adresem e-mail użytkownika. Jeśli otrzymają błąd, który mówi, że adres jest już używany, będą wiedzieć, czy korzystają z giełdy — może to być cenna informacja, która może zostać wykorzystana w bardziej ukierunkowanych oszustwach, powiedział Su.
Hakerzy i phisherzy
Trzecia warstwa to zazwyczaj to, co tworzy nagłówki. Oszuści phishingowi lub hakerzy wykorzystają wcześniej oczyszczone dane, aby tworzyć „ukierunkowane” ataki phishingowe.
„Ponieważ teraz wiedzą, że „Tommy” jest użytkownikiem giełdy „X”, mogą po prostu wysłać SMS-a o treści: „Hej Tommy, wykryliśmy, że ktoś wypłacił 5000 USD z Twojego konta, kliknij ten link i skontaktuj się z obsługą klienta, jeśli to nie Ty”.
W marcu dostawca sprzętowego portfela Trezor ostrzegł swoich użytkowników przed atakiem phishingowym mającym na celu kradzież pieniędzy inwestorów poprzez żądanie od nich wprowadzenia frazy odzyskiwania portfela na fałszywej stronie internetowej Trezor.
W ramach kampanii phishingowej atakujący podszywali się pod Trezora i kontaktowali się z ofiarami za pomocą połączeń telefonicznych, wiadomości tekstowych lub e-maili, twierdząc, że na ich koncie w Trezor doszło do naruszenia bezpieczeństwa lub podejrzanej aktywności.
Zrzut ekranu z domeny phishingowej kopiującej witrynę Trezora. Źródło: Bleeping Computer Uchodzi to na sucho
Gdy fundusze zostaną skradzione, ostatnim krokiem jest ucieczka z napadu. Su wyjaśnił, że może to oznaczać pozostawienie funduszy w stanie uśpienia przez lata, a następnie przeniesienie ich do miksera kryptowalut, takiego jak Tornado Cash.
„Wiemy, że istnieją grupy, które mogą trzymać swoje skradzione zyski przez dwa, trzy lata i nie podejmować żadnych działań” – dodał Su.
Choć niewiele jest w stanie powstrzymać hakerów kryptowalut, Su apeluje do użytkowników kryptowalut o przestrzeganie „higieny bezpieczeństwa”.
Może to oznaczać cofnięcie uprawnień dla projektów finansów zdecentralizowanych, jeśli nie są już wykorzystywane, lub zapewnienie, że kanały komunikacji, takie jak poczta e-mail lub SMS, które są wykorzystywane do uwierzytelniania dwuskładnikowego, pozostaną prywatne.
Magazyn: Tornado Cash 2.0 — Wyścig mający na celu zbudowanie bezpiecznych i legalnych mieszalników monet