Orihinal na may-akda
Christoper Rosa
Orihinal na pagsasalin: AididiaoJP, Foresight News
Pagpapakilala
Noong katapusan ng linggo, lumabas ang balita tungkol sa isang napakalaking dataset na naglalaman ng 16 bilyong pagkakakilanlan ng mga gumagamit, kabilang ang mga nakaraang paglabag at bagong nakaw na data ng pag-login, na nagsimulang kumalat online. Hindi malinaw kung sino ang nag-update ng dataset at nag-publish muli nito. Bagaman ang karamihan sa database ay isang rehash ng mga nakaraang paglabag, ang katotohanan na ito ay na-update muli ay nakakabahala. Ang dataset ay itinuturing na isa sa pinakamalaking solong koleksyon ng mga compromised na account kailanman.
Ang Pag-atake
Ginagamit ng mga hacker ang data na ito upang isagawa ang iba’t ibang mga pag-atake, at ako ay naging isa sa kanilang mga target. Ang phishing attack sa aking mga personal na aparato at account noong Hunyo 19 ay ang pinaka-sopistikadong naranasan ko sa aking dekadang karera sa cybersecurity. Una, nilikha ng mga umaatake ang ilusyon na ang aking mga account ay inaatake sa maraming platform, pagkatapos ay nagkunwari bilang mga empleyado ng Coinbase at nag-alok na tumulong. Pinagsama nila ang mga klasikong taktika ng social engineering sa mga coordinated na taktika sa mga text message, tawag sa telepono, at pekeng email, lahat ay dinisenyo upang lumikha ng maling pakiramdam ng pangangailangan, kredibilidad, at sukat. Ang abot at awtoridad ng pekeng pag-atake na ito ay susi sa mapanlinlang na kalikasan nito.
Detalyado ng Proseso ng Pag-atake
Sa ibaba ay detalyado ko ang proseso ng pag-atake, susuriin ang mga pulang bandila na napansin ko sa proseso, at ang mga hakbang na proteksyon na ginawa ko. Kasabay nito, ibabahagi ko ang mga pangunahing aral at praktikal na mungkahi upang matulungan ang mga mamumuhunan sa crypto na manatiling ligtas sa isang patuloy na tumitinding banta. Ang mga historikal na data at kamakailang na-leak na data ay maaaring gamitin ng mga hacker upang isagawa ang mga highly targeted na multi-channel na pag-atake. Muli nitong pinatutunayan ang kahalagahan ng layered security protection, malinaw na mga mekanismo ng komunikasyon sa gumagamit, at mga estratehiya sa real-time na pagtugon.
Simula ng Pag-atake
Nagsimula ang pag-atake bandang 3:15 p.m. ET noong Huwebes sa isang hindi nagpapakilalang text message na nagsasabing may isang tao na sumusubok na lokohin ang mga mobile carrier upang ibigay ang aking numero ng telepono sa ibang tao, isang taktika na kilala bilang SIM swapping. Pakitandaan na ang mensaheng ito ay hindi mula sa isang SMS number, kundi isang regular na 10-digit na numero ng telepono. Ang mga lehitimong negosyo ay gumagamit ng mga short code upang magpadala ng mga SMS message. Kung makatanggap ka ng text message mula sa isang hindi kilalang standard-length number na nag-aangking mula sa isang negosyo, malamang na ito ay isang scam o phishing attempt.
Mga Kontradiksyon at Pag-atake
Ang mga mensahe ay naglalaman din ng mga kontradiksyon: Ang unang text message ay nagbigay ng indikasyon na ang paglabag ay nagmula sa San Francisco Bay Area, habang ang kasunod na mensahe ay nagsabing ito ay naganap sa Amsterdam. Ang SIM swapping ay napaka-mapanganib kung matagumpay, dahil ang mga umaatake ay maaaring makakuha ng one-time verification codes na ginagamit ng karamihan sa mga kumpanya upang i-reset ang mga password o ma-access ang mga account. Gayunpaman, ito ay hindi isang tunay na SIM swap, at ang mga hacker ay naglalatag ng pundasyon para sa isang mas sopistikadong scam.
Pagpapalawak ng Pag-atake
Pagkatapos ay lumala ang pag-atake, at nagsimula akong makatanggap ng mga one-time verification codes na sinasabing mula sa Venmo at PayPal, na ipinadala sa pamamagitan ng SMS at WhatsApp. Ito ay nagbigay sa akin ng paniniwala na may isang tao na sumusubok na mag-log in sa aking mga account sa iba’t ibang financial platforms. Hindi tulad ng mga kahina-hinalang carrier SMS messages, ang mga verification codes na ito ay talagang nagmula sa mga short code na mukhang lehitimo.
Pag-uusap sa Pekeng Empleyado
Mga limang minuto pagkatapos makatanggap ng text message, nakatanggap ako ng tawag mula sa isang numero sa California. Ang tumawag na nagpakilala bilang Mason ay nakipag-usap gamit ang purong American accent at nag-claim na siya ay mula sa Coinbase investigation team. Sinabi niya na sa nakaraang 30 minuto, may higit sa 30 na pagtatangkang i-reset ang mga password at i-hack ang mga account sa pamamagitan ng Coinbase chat window. Ayon kay Mason, ang tinatawag na umaatake ay nakapasa sa unang antas ng seguridad para sa pag-reset ng password, ngunit nabigo sa pangalawang antas ng pagpapatunay.
Pagkilos ng Pekeng Empleyado
Ipinaliwanag ni Mason na ito ang kontradiksyon na nag-trigger ng alarma ng Coinbase security team, na nag-udyok sa kanila na makipag-ugnayan sa akin upang beripikahin ang pagiging tunay. Ang mga opisyal na palitan tulad ng Coinbase ay hindi kailanman proaktibong tatawag sa mga gumagamit maliban kung ikaw ang nag-umpisa ng isang kahilingan sa serbisyo sa pamamagitan ng opisyal na website.
Pagbabalik ng Seguridad
Matapos ipaalam sa akin ang masamang balita, iminungkahi ni Mason na protektahan ang aking account sa pamamagitan ng pag-block ng karagdagang mga channel ng pag-atake. Sinimulan niya ito sa mga API connections at mga kaugnay na wallet, na nagsasabing ang mga ito ay ibabasura upang mabawasan ang panganib. Naglista siya ng maraming koneksyon, kabilang ang Bitstamp, TradingView, MetaMask wallets, atbp., ilan sa mga ito ay hindi ko nakilala, ngunit ipinagpalagay ko na maaaring na-set up ko ang mga ito at nakalimutan.
Pagkakaroon ng Panganib
Sa puntong ito, ang aking bantay ay bumaba, at kahit na nakaramdam ako ng kapanatagan sa aktibong proteksyon ng Coinbase. Sa ngayon, hindi pa humingi si Mason ng anumang personal na impormasyon, mga wallet address, two-factor verification codes o one-time passwords, na karaniwang mga kahilingan mula sa mga phisher. Ang buong proseso ng interaksyon ay lubos na secure at preventive.
Pagpapalakas ng Takot
Pagkatapos ay dumating ang unang pagtatangkang mag-pressure, sa pamamagitan ng paglikha ng pakiramdam ng pangangailangan at kahinaan. Matapos makumpleto ang tinatawag na security check, sinabi ni Mason na ang aking proteksyon sa account para sa Coinbase One subscription service ay natigil dahil ang aking account ay na-flag bilang mataas na panganib. Nangangahulugan ito na ang mga asset ng aking Coinbase wallet ay hindi na sakop ng FDIC insurance, at hindi ako makakatanggap ng anumang kabayaran kung matagumpay na nakawin ng umaatake ang mga pondo.
Pagkonsulta sa Tunay na Serbisyo
Nang maglaon, kumonsulta ako sa tunay na customer service team ng Coinbase at nalaman na ang pag-lock ng account ay ang hakbang sa seguridad na inirerekomenda nila. Ang proseso ng pag-unlock ay talagang simple at ligtas: magbigay ng larawan ng iyong ID at isang selfie, at ang palitan ay beripikahin ang iyong pagkatao at mabilis na ibalik ang access.
Mga Email na Natanggap
Pagkatapos ay nakatanggap ako ng dalawang email. Ang una ay isang kumpirmasyon ng subscription sa Coinbase Bytes news, na isang normal na email na na-trigger ng umaatake na nagsumite ng aking email address sa pamamagitan ng opisyal na website form. Ito ay malinaw na isang pagtatangkang malito ang aking paghatol gamit ang opisyal na email ng Coinbase upang mapalakas ang kredibilidad ng scam. Ang pangalawa, mas nakakabahalang email ay nagmula sa no-reply na nagsasabing ang aking Coinbase One account protection ay tinanggal.
Paglipat sa Coinbase Vault
Pagkatapos ay iminungkahi ni Mason na ilipat ang aking mga asset sa isang multi-signature wallet na tinatawag na Coinbase Vault para sa seguridad. Hiningi pa niya sa akin na i-Google ang “Coinbase Vault” upang suriin ang opisyal na dokumentasyon upang patunayan na ito ay isang lehitimong serbisyo na ibinigay ng Coinbase sa loob ng maraming taon. Sinabi ko na nag-aalinlangan akong gumawa ng ganitong malaking pagbabago nang hindi lubos na nagsasaliksik.
Pagkumpirma ng Seguridad
Matapos ipasok ang case number na ibinigay niya, ang pahinang nagbukas ay nagpakita ng tinatawag na API connection na tinanggal at ang Create Coinbase Vault button. Agad kong sinuri ang SSL certificate ng website at natagpuan na ang domain name na ito, na nakarehistro lamang ng isang buwan, ay walang kaugnayan sa Coinbase. Bagaman ang mga SSL certificate ay madalas na lumilikha ng maling pakiramdam ng pagiging lehitimo, ang mga pormal na corporate certificates ay may malinaw na pagmamay-ari, at ang pagtuklas na ito ay nag-udyok sa akin na itigil ang operasyon kaagad.
Pagsusuri ng mga Alalahanin
Malinaw na sinabi ng Coinbase na hindi ito kailanman gagamit ng mga hindi opisyal na domain name. Kahit na ang isang third-party na serbisyo ay ginagamit, dapat itong isang subdomain tulad ng vault.coinbase.com. Ang anumang operasyon na may kinalaman sa mga account ng palitan ay dapat isagawa sa pamamagitan ng opisyal na app o website. Ipinahayag ko ang aking mga alalahanin kay Mason at binigyang-diin na gagawin ko lamang ang operasyon sa pamamagitan ng opisyal na app.
Pag-uusap sa Level 3 Support
Pagkatapos ng tawag, patuloy kong sinuri ang seguridad ng iba pang mga account, at ang aking pakiramdam ng pagkabahala ay lumakas. Mga kalahating oras mamaya, tumawag ang isang numero mula sa Texas. Ang isa pang tao na may American accent ay nag-claim na siya ay isang level 3 investigator at pinoproseso ang aking Coinbase One recovery application. Sinabi niya na kinakailangan ang isang 7-araw na review period, kung saan ang account ay mananatiling walang insurance.
Pag-uulat sa Tunay na Serbisyo
Matapos kong tapusin ang aking pangalawang tawag sa pekeng customer service representative, agad kong isinumite ang aking aplikasyon sa pamamagitan ng Coinbase.com. Agad na nakumpirma ng tunay na customer service representative na walang mga hindi pangkaraniwang pag-login o mga kahilingan sa pag-reset ng password sa aking account. Inirekomenda niya na agad na i-lock ang account at kolektahin ang mga detalye ng pag-atake at isumite ang mga ito sa investigation team.
Mga Mungkahi para sa Proteksyon
Kapag nakikipag-ugnayan sa customer service ng isang palitan o tagapag-ingat, siguraduhing dumaan sa mga opisyal na channel. Ang mga lehitimong kumpanya ay hindi kailanman proaktibong makikipag-ugnayan sa mga gumagamit. Bagaman ako ay pinalad na hindi maloko, bilang isang dating practitioner ng cybersecurity, ang karanasang ito ng halos pagbagsak ay nagbigay sa akin ng malalim na pagkabahala.
Mga Palatandaan ng Panganib
Coordinated false alarms upang lumikha ng kalituhan at pangangailangan: Ang mga umaatake ay unang lumikha ng ilusyon ng sabay-sabay na pag-atake sa maraming platform sa pamamagitan ng isang serye ng mga SIM swap alerts at mga kahilingan para sa one-time verification code mula sa mga serbisyo tulad ng Venmo at PayPal.
Pagsasama ng mga short code sa mga regular na numero ng telepono: Ang mga phishing message ay ipinapadala gamit ang isang kumbinasyon ng SMS short codes at mga regular na numero ng telepono.
Mga kahilingan upang mag-operate sa pamamagitan ng mga hindi opisyal o hindi pamilyar na domain name: Ang umaatake ay humiling sa akin na bisitahin ang isang phishing site na naka-host sa vault-coinbase.com.
Mga hindi hinihinging tawag at follow-up na komunikasyon: Ang Coinbase at karamihan sa iba pang mga institusyong pinansyal ay hindi kailanman tatawag sa iyo nang hindi nagsisimula ng isang kahilingan sa suporta.
Mga hindi hinihinging babala sa emerhensya at mga kahihinatnan: Ang mga phishing attacker ay madalas na gumagamit ng takot at pangangailangan upang pilitin ang mga biktima na kumilos nang hindi nag-iisip.
Kahilingan upang lumaktaw sa mga opisyal na channel: Anumang payo na iwasan ang paggamit ng opisyal na app o website ng isang kumpanya ay dapat agad na magtaas ng mga pulang bandila.
Mga hindi beripikadong case number o support tickets: Ang pagbibigay ng case number upang ipakilala ang isang custom-built phishing portal ay lumilikha ng maling pakiramdam ng pagiging lehitimo.
Pagsasama ng totoo at maling impormasyon: Madalas na pinagsasama ng mga umaatake ang tunay na personal na impormasyon sa malabo o hindi tumpak na impormasyon upang mapalakas ang kredibilidad.
Gumamit ng mga tunay na pangalan ng kumpanya sa mga alternatibong mungkahi: Ang pagpapakilala ng mga pinagkakatiwalaang pangalan tulad ng SafePal ay maaaring isang diversionary tactic.
Labing kasigasigan nang walang beripikasyon: Ang umaatake ay naging mapagpasensya, hinikayat akong gawin ang aking sariling pananaliksik.
Paganahin ang transaction-level verification sa mga palitan: Paganahin ang two-factor authentication at captcha-based verification sa iyong mga setting ng palitan.
Palaging makipag-ugnayan sa mga service provider sa pamamagitan ng mga lehitimo, napatunayan na channel: Nakipag-ugnayan ako sa aking mobile service provider at Coinbase sa pamamagitan ng direktang pag-log in sa opisyal na platform.
Isaalang-alang ang paggamit ng multi-signature wallet o cold storage solution: Ang mga multi-signature wallet ay nangangailangan ng maraming partido upang aprubahan ang isang transaksyon.
I-bookmark ang mga opisyal na website at iwasang mag-click sa mga link mula sa mga hindi hinihinging mensahe: Ang manu-manong pagpasok ng URL o paggamit ng pinagkakatiwalaang bookmark ay ang pinakamahusay na paraan upang maiwasan ang domain spoofing.
Gumamit ng password manager upang makilala ang mga kahina-hinalang site at mapanatili ang malalakas na password: Ang mga password manager ay tumutulong na maiwasan ang mga phishing attempt.
Regular na suriin ang mga naka-link na apps, API keys, at third-party integrations: I-revoke ang access sa anumang apps o serbisyo na hindi mo na ginagamit o hindi mo nakilala.
Paganahin ang real-time account alerts kung saan magagamit: Ang mga notification ng mga pag-login, withdrawals, o mga pagbabago sa mga setting ng seguridad ay maaaring magbigay ng kritikal na maagang babala.
I-report ang lahat ng kahina-hinalang aktibidad sa opisyal na support team ng service provider: Ang maagang pag-uulat ay tumutulong na maiwasan ang mas malawak na mga pag-atake.
Konklusyon
Para sa mga institusyong pinansyal, mga IT security team at mga executive, ang pag-atake ay nagha-highlight kung paano ang mga historikal na data, kapag muling ginamit at pinagsama sa real-time na social engineering, ay maaaring pahintulutan ang mga hacker na malampasan kahit ang pinaka-sopistikadong mga depensa sa seguridad. Ang mga banta ay hindi na umaasa lamang sa brute force attacks, kundi sa halip ay nagsasagawa ng mga coordinated cross-channel strategies upang makuha ang tiwala at linlangin ang mga gumagamit sa pamamagitan ng pag-gaya sa mga lehitimong workflow. Dapat nating hindi lamang protektahan ang seguridad ng sistema at network, kundi pati na rin tukuyin ang mga banta at kumilos upang protektahan ang ating sarili. Kung nagtatrabaho man sa isang crypto agency o namamahala ng mga crypto asset sa bahay, dapat maunawaan ng lahat kung paano ang mga personal na kahinaan sa seguridad ay maaaring umunlad sa mga sistematikong panganib.
