По словам главного сотрудника службы безопасности Binance, в темных уголках даркнета скрывается «хорошо зарекомендовавшая себя» экосистема хакеров, которые нацелены на пользователей криптовалюты с плохой «гигиеной безопасности».
В беседе с Cointelegraph CSO Binance Джимми Су сказал, что в последние годы хакеры переключили свое внимание на конечных пользователей криптовалюты.
Су отметил, что когда Binance открылась в июле 2017 года, команда зафиксировала многочисленные попытки взлома внутренней сети. Однако по мере того, как криптовалютные биржи продолжали усиливать свою безопасность, акцент сместился.
Фишинг-мошенничество особенно распространено в электронной почте.
Они используются для сбора вашей конфиденциальной информации, выдавая себя за кого-то, кому вы доверяете.
Используйте приведенный ниже блог, чтобы узнать, как обезопасить себя от них. https://t.co/UtKBvR52lX
— Бинанс (@binance) 4 июля 2023 г.
«Хакеры всегда выбирают самую низкую планку для достижения своих целей, потому что для них это еще и бизнес. Хакерское сообщество представляет собой устоявшуюся экосистему.
По словам Су, эта экосистема состоит из четырех отдельных уровней: сборщиков разведывательных данных, уточнений данных, хакеров и отмывателей денег.
Сборщики данных
Самый верхний уровень — это то, что Су назвал «информацией об угрозах». Здесь злоумышленники собирают и сопоставляют полученную нечестным путем информацию о пользователях криптовалюты, создавая целые электронные таблицы, заполненные подробностями о разных пользователях.
Это может включать криптовалютные веб-сайты, которые пользователь часто посещает, электронные письма, которые они используют, их имя и то, находятся ли они в Telegram или социальных сетях.
«В даркнете есть рынок для этого, где эта информация продается. […] которое описывает пользователя», — объяснил Су в интервью в мае.
Су отметил, что такая информация обычно собирается в большом количестве, например, утечки информации о клиентах или взломы, нацеленные на других поставщиков или платформы.
Сотрудник нашего почтового провайдера, https://t.co/6vM4WAcJalзлоупотребляли доступом своих сотрудников к загрузке и обмену адресами электронной почты с неавторизованной внешней стороной.
Адреса электронной почты, предоставленные OpenSea пользователями или подписчиками на новостную рассылку, были затронуты.https://t.co/Osb6qqkqZZ
—Открытое море (@opensea) 30 июня 2022 г.
В апреле исследование по вопросам конфиденциальности показало, что киберпреступники продавали взломанные криптоаккаунты всего за 30 долларов за штуку. Фальсифицированную документацию, часто используемую хакерами для открытия счетов на сайтах по торговле криптовалютой, также можно приобрести в даркнете.
Уточнения данных
По словам Су, собранные данные затем продаются другой группе, обычно состоящей из дата-инженеров, специализирующихся на уточнении данных.
«Например, в прошлом году был набор данных для пользователей Twitter. […] Основываясь на имеющейся там информации, они могут еще больше сузить ее, чтобы на основе твитов увидеть, какие из них на самом деле связаны с криптографией.
Затем эти инженеры данных будут использовать «скрипты и боты», чтобы определить, на каких биржах может зарегистрироваться криптоэнтузиаст.
Для этого они пытаются создать учетную запись с адресом электронной почты пользователя. Если они получат сообщение об ошибке, что адрес уже используется, они узнают, используют ли они биржу — это может быть ценная информация, которая может быть использована более целенаправленными мошенниками, сказал Су.
Хакеры и фишеры
Третий слой обычно создает заголовки. Фишинговые мошенники или хакеры будут использовать ранее уточненные данные для создания «целевых» фишинговых атак.
«Поскольку теперь они знают, что «Томми» является пользователем биржи «X», они могут просто написать: «Эй, Томми, мы обнаружили, что кто-то снял 5000 долларов с вашего счета, пожалуйста, нажмите на эту ссылку и свяжитесь со службой поддержки, если это не так». дело для вас ».
В марте провайдер аппаратных кошельков Trezor предупредил своих пользователей о фишинговой атаке, предназначенной для кражи денег инвесторов, заставив их ввести фразу восстановления кошелька на поддельном веб-сайте Trezor.
В фишинговой кампании злоумышленники выдавали себя за Trezor и связывались с жертвами по телефону, текстовым сообщениям или электронным письмам, утверждая, что в их учетной записи Trezor произошло нарушение безопасности или подозрительная активность.
Уходи
После того, как средства украдены, последний шаг — избежать наказания за ограбление. Су объяснил, что это может означать, что средства будут простаивать в течение многих лет, а затем они будут переведены в крипто-микшер, такой как Tornado Cash.
«Есть группы, о которых мы знаем, которые могут сидеть на своих украденных доходах два-три года без каких-либо движений», — добавил Су.
Хотя мало что может остановить крипто-хакеров, Су призывает пользователей криптографии лучше практиковать «гигиену безопасности».
Это может включать отзыв разрешений для децентрализованных финансовых проектов, если они больше не используют их, или обеспечение того, чтобы каналы связи, такие как электронная почта или текст, используемые для двухфакторной аутентификации, оставались закрытыми.