Tác giả: Christoper Rosa
Dịch giả: AididiaoJP, Foresight News
Tập dữ liệu bị đánh cắp
Cuối tuần qua, một tập dữ liệu khổng lồ gồm 16 tỷ danh tính người dùng, bao gồm cả các vi phạm trong quá khứ và dữ liệu đăng nhập mới bị đánh cắp, đã bắt đầu lưu hành trực tuyến. Không rõ ai đã cập nhật và phát tán lại tập dữ liệu này. Mặc dù phần lớn cơ sở dữ liệu là sự tái hiện của các vi phạm trong quá khứ, nhưng việc nó được cập nhật một lần nữa là điều đáng lo ngại. Tập dữ liệu này được coi là một trong những bộ sưu tập tài khoản bị xâm phạm lớn nhất từ trước đến nay. Các hacker đang sử dụng dữ liệu này để thực hiện nhiều cuộc tấn công khác nhau, và tôi đã trở thành một trong những mục tiêu của họ.
Cuộc tấn công lừa đảo
Cuộc tấn công lừa đảo vào các thiết bị và tài khoản cá nhân của tôi vào ngày 19 tháng 6 là cuộc tấn công tinh vi nhất mà tôi từng gặp trong suốt một thập kỷ làm việc trong lĩnh vực an ninh mạng. Những kẻ tấn công trước tiên đã tạo ra ảo giác rằng các tài khoản của tôi đang bị tấn công trên nhiều nền tảng, sau đó giả mạo là nhân viên của Coinbase và đề nghị giúp đỡ. Họ đã kết hợp các chiến thuật kỹ thuật xã hội cổ điển với các chiến thuật phối hợp qua tin nhắn văn bản, cuộc gọi điện thoại và email giả mạo, tất cả đều nhằm tạo ra cảm giác khẩn cấp, đáng tin cậy và quy mô giả tạo. Phạm vi và quyền lực của cuộc tấn công giả mạo này là chìa khóa cho bản chất lừa đảo của nó.
Chi tiết quy trình tấn công
Dưới đây, tôi sẽ chi tiết quy trình tấn công, phân tích các dấu hiệu cảnh báo mà tôi đã nhận thấy trong quá trình này và các biện pháp bảo vệ mà tôi đã thực hiện. Đồng thời, tôi sẽ chia sẻ những bài học quan trọng và các gợi ý thực tiễn để giúp các nhà đầu tư tiền điện tử giữ an toàn trong môi trường đe dọa ngày càng gia tăng.
Dữ liệu lịch sử và dữ liệu bị rò rỉ gần đây có thể được các hacker sử dụng để thực hiện các cuộc tấn công đa kênh có mục tiêu cao. Điều này một lần nữa khẳng định tầm quan trọng của việc bảo vệ an ninh theo nhiều lớp, các cơ chế giao tiếp người dùng rõ ràng và các chiến lược phản ứng theo thời gian thực. Cả các tổ chức và người dùng cá nhân đều có thể thu được các công cụ thực tiễn từ trường hợp này, bao gồm các giao thức xác minh, thói quen xác định tên miền và các bước phản ứng, giúp ngăn chặn sự bất cẩn nhất thời biến thành các lỗ hổng bảo mật lớn.
Quá trình tấn công
Cuộc tấn công bắt đầu vào khoảng 3:15 chiều ET thứ Năm với một tin nhắn văn bản ẩn danh nói rằng ai đó đang cố gắng lừa đảo các nhà mạng di động để lấy số điện thoại của tôi cho người khác, một chiến thuật được gọi là SIM swapping. Xin lưu ý rằng tin nhắn này không đến từ một số SMS, mà là một số điện thoại 10 chữ số thông thường. Các doanh nghiệp hợp pháp sử dụng mã ngắn để gửi tin nhắn SMS. Nếu bạn nhận được một tin nhắn từ một số có độ dài tiêu chuẩn không rõ nguồn gốc, tuyên bố là từ một doanh nghiệp, thì rất có thể đó là một cuộc lừa đảo hoặc nỗ lực lừa đảo.
Các tin nhắn cũng chứa các mâu thuẫn: Tin nhắn văn bản đầu tiên cho biết vi phạm bắt nguồn từ khu vực Vịnh San Francisco, trong khi một tin nhắn sau đó cho biết nó xảy ra ở Amsterdam. SIM swapping là cực kỳ nguy hiểm nếu thành công, vì những kẻ tấn công có thể lấy được mã xác minh một lần mà hầu hết các công ty sử dụng để đặt lại mật khẩu hoặc truy cập tài khoản. Tuy nhiên, đây không phải là một cuộc SIM swap thực sự, và các hacker đang chuẩn bị cho một trò lừa đảo tinh vi hơn.
Cuộc tấn công sau đó leo thang, và tôi bắt đầu nhận được mã xác minh một lần được cho là từ Venmo và PayPal, được gửi qua SMS và WhatsApp. Điều này khiến tôi tin rằng ai đó đang cố gắng đăng nhập vào các tài khoản của tôi trên nhiều nền tảng tài chính khác nhau. Khác với các tin nhắn SMS đáng ngờ từ nhà mạng, các mã xác minh này thực sự đến từ các mã ngắn trông hợp pháp.
Khoảng năm phút sau khi nhận được tin nhắn văn bản, tôi nhận được một cuộc gọi từ một số ở California. Người gọi tự xưng là Mason nói với giọng Mỹ chuẩn và tuyên bố là từ đội điều tra của Coinbase. Anh ta nói rằng trong 30 phút qua, đã có hơn 30 nỗ lực đặt lại mật khẩu và hack vào các tài khoản thông qua cửa sổ trò chuyện của Coinbase. Theo Mason, kẻ tấn công được cho là đã vượt qua cấp độ xác minh bảo mật đầu tiên để đặt lại mật khẩu, nhưng đã thất bại ở cấp độ xác thực thứ hai. Anh ta nói với tôi rằng bên kia có thể cung cấp bốn chữ số cuối của chứng minh thư của tôi, số bằng lái xe đầy đủ, địa chỉ nhà và tên đầy đủ, nhưng không thể cung cấp số chứng minh thư đầy đủ hoặc bốn chữ số cuối của thẻ ngân hàng liên kết với tài khoản Coinbase.
Mason giải thích rằng chính sự mâu thuẫn này đã kích hoạt báo động của đội ngũ an ninh Coinbase, khiến họ liên hệ với tôi để xác minh tính xác thực. Các sàn giao dịch chính thức như Coinbase sẽ không bao giờ chủ động gọi cho người dùng trừ khi bạn khởi tạo yêu cầu dịch vụ thông qua trang web chính thức. Để tìm hiểu thêm về quy định dịch vụ khách hàng của sàn giao dịch, vui lòng đọc tài liệu này của Coinbase.
Biện pháp bảo vệ và bài học rút ra
Sau khi thông báo cho tôi về tin xấu, Mason đề xuất bảo vệ tài khoản của tôi bằng cách chặn các kênh tấn công bổ sung. Anh ta bắt đầu với các kết nối API và ví liên kết, tuyên bố rằng chúng sẽ bị thu hồi để giảm thiểu rủi ro. Anh ta liệt kê nhiều kết nối, bao gồm Bitstamp, TradingView, ví MetaMask, v.v., một số trong đó tôi không nhận ra, nhưng tôi cho rằng có thể tôi đã thiết lập chúng và quên. Vào thời điểm này, sự cảnh giác của tôi đã giảm xuống, và tôi thậm chí cảm thấy yên tâm với sự bảo vệ chủ động của Coinbase.
Cho đến nay, Mason chưa yêu cầu bất kỳ thông tin cá nhân nào, địa chỉ ví, mã xác minh hai yếu tố hoặc mật khẩu một lần, những yêu cầu thường thấy từ những kẻ lừa đảo. Toàn bộ quá trình tương tác rất an toàn và phòng ngừa. Sau đó, đã đến lần đầu tiên tạo áp lực, bằng cách tạo ra cảm giác khẩn cấp và dễ bị tổn thương.
…
Các dấu hiệu cảnh báo và gợi ý bảo vệ
Cảnh báo giả mạo phối hợp để tạo ra sự nhầm lẫn và khẩn cấp
Những kẻ tấn công trước tiên đã tạo ra ảo giác về một cuộc tấn công đồng thời trên nhiều nền tảng thông qua một loạt cảnh báo SIM swap và yêu cầu mã xác minh một lần từ các dịch vụ như Venmo và PayPal (được gửi qua cả SMS và WhatsApp). Những tin nhắn này có thể đã được kích hoạt chỉ với số điện thoại và địa chỉ email của tôi, những thông tin dễ dàng tiếp cận.Kết hợp mã ngắn với số điện thoại thông thường
Các tin nhắn lừa đảo được gửi bằng cách kết hợp mã ngắn SMS và số điện thoại thông thường. Trong khi các doanh nghiệp thường sử dụng mã ngắn cho các thông tin liên lạc chính thức, những kẻ tấn công có thể giả mạo hoặc tái sử dụng các mã ngắn này. Nhưng điều quan trọng là các dịch vụ hợp pháp sẽ không bao giờ sử dụng số điện thoại thông thường để gửi cảnh báo bảo mật. Các tin nhắn từ các số có độ dài tiêu chuẩn luôn nên được xem xét một cách hoài nghi.Yêu cầu hoạt động qua các tên miền không chính thức hoặc không quen thuộc
Kẻ tấn công đã yêu cầu tôi truy cập một trang web lừa đảo được lưu trữ trên vault-coinbase.com, một miền trông hợp pháp ở cái nhìn đầu tiên, nhưng thực tế không liên quan gì đến Coinbase. Luôn kiểm tra kỹ tên miền và chứng chỉ SSL trước khi nhập bất kỳ thông tin nào. Các hoạt động liên quan đến tài khoản nhạy cảm chỉ nên được thực hiện trên các miền hoặc ứng dụng chính thức của công ty.Các cuộc gọi không mong muốn và các liên lạc tiếp theo
Coinbase và hầu hết các tổ chức tài chính khác sẽ không bao giờ gọi bạn mà không khởi tạo yêu cầu hỗ trợ. Nhận được cuộc gọi từ ai đó tự xưng là từ “Đội điều tra Cấp 3” là một dấu hiệu cảnh báo lớn, đặc biệt khi nó đi kèm với các chiến thuật đe dọa và hướng dẫn phức tạp để bảo vệ tài khoản của bạn.Cảnh báo khẩn cấp và hậu quả không mong muốn
Những kẻ tấn công lừa đảo thường sử dụng nỗi sợ hãi và sự khẩn cấp để buộc nạn nhân hành động mà không suy nghĩ. Trong trường hợp này, các mối đe dọa về việc khóa tài khoản, tài sản bị đánh cắp và hủy bỏ bảo hiểm là những chiến thuật kỹ thuật xã hội điển hình.Yêu cầu bỏ qua các kênh chính thức
Bất kỳ lời khuyên nào để tránh sử dụng ứng dụng hoặc trang web chính thức của công ty, đặc biệt khi nó tuyên bố cung cấp một lựa chọn “nhanh hơn” hoặc “an toàn hơn”, nên ngay lập tức dấy lên các dấu hiệu cảnh báo. Những kẻ tấn công có thể cung cấp các liên kết trông hợp pháp nhưng thực tế lại dẫn đến các miền độc hại.Số trường hợp hoặc vé hỗ trợ không được xác minh
Việc cung cấp một số trường hợp để giới thiệu một cổng lừa đảo tùy chỉnh tạo ra cảm giác hợp pháp giả tạo. Không có dịch vụ hợp pháp nào yêu cầu người dùng xác minh danh tính của họ hoặc thực hiện hành động thông qua một liên kết tùy chỉnh bên ngoài với số trường hợp.Thông tin thật và giả lẫn lộn
Những kẻ tấn công thường kết hợp thông tin cá nhân thực (chẳng hạn như địa chỉ email hoặc một phần số an sinh xã hội) với thông tin mơ hồ hoặc không chính xác để nâng cao độ tin cậy. Bất kỳ sự không nhất quán hoặc tham chiếu mơ hồ nào đến chuỗi, ví hoặc kiểm tra bảo mật nên được xem xét với sự nghi ngờ.Sử dụng tên công ty thực trong các đề xuất thay thế
Việc giới thiệu các tên đáng tin cậy như SafePal (ngay cả khi những công ty này là hợp pháp) có thể là một chiến thuật phân tâm nhằm tạo ra vẻ ngoài lựa chọn và hợp pháp trong khi thực tế dẫn dắt nạn nhân đến các hoạt động độc hại.Sự nhiệt tình quá mức mà không có xác minh
Kẻ tấn công đã kiên nhẫn, khuyến khích tôi tự nghiên cứu và không yêu cầu thông tin nhạy cảm ngay từ đầu. Hành vi này bắt chước một đại diện dịch vụ khách hàng thực sự, khiến trò lừa đảo trở nên chuyên nghiệp. Bất kỳ sự giúp đỡ không mong muốn nào có vẻ quá tốt để trở thành sự thật nên được xem xét với sự nghi ngờ.Kích hoạt xác minh cấp giao dịch trên các sàn giao dịch
Kích hoạt xác thực hai yếu tố và xác minh dựa trên captcha trong cài đặt sàn giao dịch của bạn. Điều này đảm bảo rằng bất kỳ nỗ lực nào để gửi hoặc chuyển tiền cần được gửi đến một thiết bị đáng tin cậy để xác nhận theo thời gian thực, ngăn chặn các giao dịch trái phép.Luôn liên hệ với nhà cung cấp dịch vụ thông qua các kênh hợp pháp, đã được xác minh
Trong trường hợp này, tôi đã liên hệ với nhà cung cấp dịch vụ di động và Coinbase bằng cách đăng nhập trực tiếp vào nền tảng chính thức và gửi một vé hỗ trợ. Đây là cách an toàn nhất và duy nhất phù hợp để tương tác với dịch vụ khách hàng khi bảo mật tài khoản của bạn bị xâm phạm.Hỗ trợ sàn giao dịch sẽ không bao giờ yêu cầu bạn di chuyển, truy cập hoặc bảo vệ quỹ của bạn
Họ sẽ không yêu cầu hoặc cung cấp cụm từ ghi nhớ ví của bạn, yêu cầu mã xác minh hai yếu tố của bạn, hoặc cố gắng truy cập từ xa hoặc cài đặt phần mềm trên thiết bị của bạn.Cân nhắc sử dụng ví đa chữ ký hoặc giải pháp lưu trữ lạnh
Ví đa chữ ký yêu cầu nhiều bên phê duyệt một giao dịch, trong khi ví lạnh giữ khóa riêng của bạn hoàn toàn ngoại tuyến. Cả hai phương pháp đều hiệu quả trong việc bảo vệ các khoản đầu tư dài hạn khỏi các cuộc tấn công lừa đảo từ xa hoặc phần mềm độc hại.Đánh dấu các trang web chính thức và tránh nhấp vào các liên kết từ các tin nhắn không mong muốn
Nhập URL bằng tay hoặc sử dụng một dấu trang đáng tin cậy là cách tốt nhất để tránh giả mạo miền.Sử dụng trình quản lý mật khẩu để xác định các trang web đáng ngờ và duy trì mật khẩu mạnh
Trình quản lý mật khẩu giúp ngăn chặn các nỗ lực lừa đảo bằng cách từ chối tự động điền trên các miền giả mạo hoặc không rõ. Thay đổi mật khẩu của bạn thường xuyên và ngay lập tức nếu bạn nghi ngờ một cuộc tấn công độc hại.Thường xuyên xem xét các ứng dụng liên kết, khóa API và tích hợp bên thứ ba
Thu hồi quyền truy cập đối với bất kỳ ứng dụng hoặc dịch vụ nào mà bạn không còn sử dụng hoặc không nhận ra.Kích hoạt cảnh báo tài khoản theo thời gian thực khi có thể
Thông báo về các lần đăng nhập, rút tiền hoặc thay đổi cài đặt bảo mật có thể cung cấp cảnh báo sớm quan trọng về hoạt động trái phép.Báo cáo tất cả các hoạt động đáng ngờ cho đội ngũ hỗ trợ chính thức của nhà cung cấp dịch vụ
Việc báo cáo sớm giúp ngăn chặn các cuộc tấn công rộng hơn và góp phần vào sự an toàn tổng thể của nền tảng.
Đối với các tổ chức tài chính, các đội ngũ an ninh CNTT và các giám đốc điều hành, cuộc tấn công này làm nổi bật cách dữ liệu lịch sử, khi được tái sử dụng và kết hợp với kỹ thuật xã hội theo thời gian thực, có thể cho phép các hacker vượt qua ngay cả những phòng thủ an ninh tinh vi nhất. Các tác nhân đe dọa không còn chỉ dựa vào các cuộc tấn công brute force, mà thay vào đó thực hiện các chiến lược phối hợp đa kênh để giành được lòng tin và lừa dối người dùng bằng cách bắt chước các quy trình hợp pháp. Chúng ta không chỉ phải bảo vệ an ninh hệ thống và mạng, mà còn phải xác định các mối đe dọa và hành động để bảo vệ bản thân. Dù làm việc trong một cơ quan tiền điện tử hay quản lý tài sản tiền điện tử tại nhà, mọi người đều phải hiểu cách mà các lỗ hổng bảo mật cá nhân có thể phát triển thành các rủi ro hệ thống. Để bảo vệ chống lại những mối đe dọa này, các tổ chức phải xây dựng các lớp phòng thủ như giám sát tên miền, xác thực thích ứng, xác thực đa yếu tố để ngăn chặn lừa đảo và các giao thức giao tiếp rõ ràng. Cũng quan trọng là các công ty phải nuôi dưỡng một văn hóa hiểu biết về an ninh mạng để mọi nhân viên, từ kỹ sư đến giám đốc điều hành, hiểu vai trò của họ trong việc bảo vệ công ty. Trong môi trường ngày nay, an ninh không chỉ là một chức năng kỹ thuật, mà còn là một trách nhiệm cần được chia sẻ bởi cá nhân và toàn bộ tổ chức.
