网络安全警示:160亿用户身份数据泄露
原作者:Christoper Rosa 译者:AididiaoJP,前瞻新闻
上周末,消息传出一个包含160亿用户身份的大型数据集开始在网上流传,其中包括过去的泄露数据和新盗取的登录信息。尚不清楚是谁更新了该数据集并重新发布。尽管数据库中的大部分内容是过去泄露事件的重组,但其再次更新的事实令人不安。该数据集被认为是有史以来最大的一次被泄露账户集合。黑客正在利用这些数据进行各种攻击,而我成为了他们的目标之一。
复杂的网络钓鱼攻击
6月19日,我的个人设备和账户遭遇的网络钓鱼攻击是我十年网络安全职业生涯中遇到的最复杂的一次。攻击者首先制造了我的账户在多个平台上受到攻击的假象,然后假装是Coinbase的员工,提供帮助。他们结合了经典的社会工程学策略,通过短信、电话和假邮件进行协调,旨在制造一种虚假的紧迫感、可信度和规模感。这次假攻击的影响力和权威性是其欺骗性质的关键。
攻击过程与警示信号
接下来,我将详细描述攻击过程,分析我在过程中注意到的警示信号,以及我采取的保护措施。同时,我将分享关键教训和实用建议,以帮助加密货币投资者在不断升级的威胁环境中保持安全。历史数据和最近泄露的数据可以被黑客用来进行高度针对性的多渠道攻击。这再次确认了分层安全保护、清晰用户沟通机制和实时响应策略的重要性。
“机构和个人用户都可以从这个案例中获得实用工具,包括验证协议、域名识别习惯和响应步骤,这些都可以帮助防止一时的疏忽演变为重大的安全漏洞。”
攻击的开始
攻击始于周四东部时间下午3:15,我收到一条匿名短信,称有人试图欺骗移动运营商将我的电话号码转移给他人,这种策略被称为SIM卡交换。请注意,这条信息不是来自短信号码,而是一个普通的10位电话号码。合法企业通常使用短代码发送短信。如果您收到来自未知标准长度号码的短信,声称来自某个企业,很可能是诈骗或网络钓鱼尝试。
消息中还包含矛盾信息:第一条短信表示泄露事件源于旧金山湾区,而随后的消息则称发生在阿姆斯特丹。成功的SIM卡交换极其危险,因为攻击者可以获得大多数公司用于重置密码或访问账户的一次性验证代码。然而,这并不是一次真正的SIM卡交换,黑客正在为更复杂的骗局铺路。
攻击的升级
攻击随后升级,我开始收到来自Venmo和PayPal的一次性验证代码,通过短信和WhatsApp发送。这让我相信有人试图登录我在各种金融平台上的账户。与可疑的运营商短信不同,这些验证代码确实来自看似合法的短代码。大约在收到短信五分钟后,我接到了一个来自加州的电话。自称梅森的来电者用纯正的美国口音声称来自Coinbase调查团队。
梅森表示,所谓的攻击者已经通过了密码重置的第一层安全验证,但在第二层身份验证中失败。他告诉我,另一方可以提供我的身份证的最后四位数字、完整的驾照号码、家庭地址和全名,但未能提供完整的身份证号码或与Coinbase账户关联的银行卡的最后四位数字。梅森解释说,正是这种矛盾触发了Coinbase安全团队的警报,促使他们联系我以验证真实性。
警惕性降低的陷阱
在告知我坏消息后,梅森提议通过阻止额外的攻击渠道来保护我的账户。他首先从API连接和关联钱包开始,声称这些将被撤销以降低风险。他列出了多个连接,包括Bitstamp、TradingView、MetaMask钱包等,其中一些我并不认识,但我假设可能是我设置过而忘记了。此时,我的警惕性降低,甚至对Coinbase的主动保护感到放心。
到目前为止,梅森并没有要求任何个人信息、钱包地址、双因素验证代码或一次性密码,这些通常是网络钓鱼者的常见请求。整个互动过程显得高度安全和预防。
制造紧迫感的策略
接下来是第一次施加压力的尝试,制造紧迫感和脆弱感。在完成所谓的安全检查后,梅森声称我的Coinbase One订阅服务的账户保护已被终止,因为我的账户被标记为高风险。这意味着我的Coinbase钱包资产不再受到FDIC保险的保护,如果攻击者成功盗取资金,我将无法获得任何赔偿。
回想起来,这一论点应该是一个明显的漏洞。与银行存款不同,加密资产从未受到FDIC保险的保护,尽管Coinbase可能将客户的美元存放在受FDIC保险的银行中,但交易所本身并不是一个受保险的机构。梅森还警告说,24小时倒计时已经开始,逾期账户将被锁定。解锁将需要一个复杂且漫长的过程。
电子邮件的欺骗
随后,我收到了两封电子邮件。第一封是Coinbase Bytes新闻订阅确认信,这只是攻击者通过官方网站表单提交我的电子邮件地址后触发的正常邮件。这显然是试图用Coinbase的官方邮件混淆我的判断,以增强骗局的可信度。
第二封更令人不安的邮件来自no-reply,称我的Coinbase One账户保护已被移除。这封邮件看似来自合法的Coinbase域名,极具欺骗性——如果它来自可疑域名,很容易被识别,但因为它看起来来自官方地址,所以显得真实。
识破骗局的关键时刻
梅森随后建议将我的资产转移到一个名为Coinbase Vault的多重签名钱包以确保安全。他甚至让我搜索“Coinbase Vault”,以查看官方文档,证明这是Coinbase多年来提供的合法服务。我表示在没有充分调查的情况下不愿意进行如此重大的变更。
挂断电话后,我立即收到了确认通话和预约的短信。在确认运营商没有进行SIM转移尝试后,我立即更改了所有账户密码。梅森按计划回电,我们开始讨论下一步。此时我已经确认Coinbase Vault确实是Coinbase提供的真实服务。
最终的反击
梅森随后给我发送了一个链接到vault-coinbase.com,声称他可以查看第一次通话中讨论的安全设置。一旦审核完成,资产就可以转移到Vault,此时,我的网络安全专业知识终于显露出来。在输入他提供的案件编号后,打开的页面显示所谓的API连接已被移除和创建Coinbase Vault的按钮。
我立即检查了该网站的SSL证书,发现这个仅注册一个月的域名与Coinbase没有任何关系。尽管SSL证书通常会产生虚假的合法性,但正式企业证书有明确的所有权,而这一发现让我立即停止了操作。Coinbase明确表示,它绝不会使用非官方域名。
总结与建议
在联系交易所或保管人的客户服务时,一定要通过官方渠道进行。合法公司绝不会主动联系用户。虽然我很幸运没有被欺骗,但作为一名前网络安全从业者,这次差点上当的经历让我感到深深的不安。如果我没有经过专业培训,可能会被欺骗。
“正是攻击者精心设计的一系列行动,制造了紧迫感和权威感,使这次网络钓鱼如此危险。”
我总结了以下危险信号和保护建议,希望能帮助加密货币投资者确保他们在当前网络环境中的资金安全。
- 协调的虚假警报制造混乱和紧迫感。
- 混合短代码和普通电话号码,保持警惕。
- 请求通过非官方或不熟悉的域名进行操作。
- 未经请求的电话和后续沟通。
- 未经请求的紧急和后果警告。
- 请求绕过官方渠道。
- 未经验证的案件编号或支持票。
- 混合真实和虚假信息。
- 在替代提案中使用真实公司名称。
- 过于热心而未进行验证。
- 在交易所启用交易级验证。
- 始终通过合法、经过验证的渠道联系服务提供商。
- 交易所支持绝不会要求您移动、访问或保护您的资金。
- 考虑使用多重签名钱包或冷存储解决方案。
- 书签官方网页,避免点击来自未经请求的消息的链接。
- 定期审查链接的应用程序、API密钥和第三方集成。
- 向服务提供商的官方支持团队报告所有可疑活动。
为了抵御这些威胁,组织必须分层防御,例如域名监控、自适应身份验证、多因素身份验证以防止网络钓鱼,以及清晰的沟通协议。公司还应培养网络安全素养的文化,使每位员工从工程师到高管都理解自己在保护公司中的角色。在当今环境中,安全不仅是技术职能,也是每个人和整个组织需要共同承担的责任。
