This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ネットセキュリティ専門家が精密なフィッシング攻撃に危うく遭遇 160億件のデータ漏洩が危機を引き起こす
ネットワークセキュリティ専門家もほぼ引っかかるところだった精密フィッシング攻撃
最近、1,600億件のユーザー情報を含む巨大なデータセットがオンラインで流出しました。これには過去の漏洩データと最近盗まれたログイン情報が含まれています。ほとんどは古いデータの再整理ですが、更新されたデータは依然として不安を引き起こします。これは史上最大規模の単一アカウント漏洩コレクションの一つと見なされています。
ハッカーはこれらのデータを利用してさまざまな攻撃を仕掛けており、私は彼らの標的の一人になってしまいました。
6月19日に私の個人デバイスとアカウントに対して行われたフィッシング攻撃は、私の10年間のサイバーセキュリティのキャリアの中で最も精密なものでした。攻撃者はまず、私のアカウントが複数のプラットフォームで攻撃を受けているという偽の印象を作り出し、その後、ある取引プラットフォームの従業員を装って「助け」を提供しました。彼らは社会工学的手法とSMS、電話、および偽のメールの協調戦術を組み合わせており、すべての設計は虚偽の緊急感、信頼性、規模の効果を生み出すことを目的としています。この虚偽の攻撃は広範囲にわたり、非常に権威のあるものであり、これが攻撃が非常に欺瞞的である理由の鍵となっています。
以下では、攻撃プロセスを詳細に再現し、その中の危険信号を分析し、私が取った防御措置について説明します。また、投資家が絶えず進化する脅威環境で安全を確保するための重要な教訓と実用的なアドバイスを共有します。
歴史データと最近漏洩したデータは、ハッカーによって高度にターゲットを絞ったマルチチャネル攻撃を実施するために使用される可能性があります。これは、層状のセキュリティ防護、明確なユーザーコミュニケーションメカニズム、およびリアルタイムの対応戦略の重要性を再確認するものです。機関であれ個人ユーザーであれ、このケースからは、重大なセキュリティ脆弱性に発展することを防ぐのに役立つ、検証プロトコル、ドメイン識別習慣、および対応手順などの実用的なツールを得ることができます。
! 【Coinbaseフィッシング詐欺「教科書」:専門家でさえも冷や汗をかいて驚く攻撃レビューと詐欺対策ガイド](https://img-cdn.gateio.im/social/moments-24e9a33931bbe5f228e28e289c86ef1c98f)
SIMカードハイジャック
攻撃はある午後3時15分頃に始まり、匿名のメッセージが、誰かが私の電話番号を他人に漏らすように携帯電話会社を誘惑しようとしていると述べています。この攻撃手法はSIMスワップと呼ばれています。
注意が必要なのは、この情報はショートコードからのものではなく、普通の10桁の電話番号であるということです。正規の企業が送信するSMSはショートコードを使用します。未知の標準の長い番号から、企業を名乗るSMSを受け取った場合、それは詐欺やフィッシングの試みである可能性が非常に高いです。
これらの情報には矛盾した内容も含まれています。最初のメッセージは漏洩がサンフランシスコ湾エリアで発生したことを示していますが、その後のメッセージはアムステルダムで発生したと述べています。
SIMスワッピングが成功すると非常に危険です。なぜなら、攻撃者は多くの企業がパスワードのリセットやアカウントへのアクセスに使用するワンタイムコードを取得できるからです。しかし、今回は本物のSIMスワッピングではなく、ハッカーは後続のより精巧な詐欺の準備をしています。
ワンタイムパスワードとパスワードリセット
攻撃はその後エスカレートし、私は次々とある決済プラットフォームから送信されたとされるワンタイムパスコードを、SMSやインスタントメッセージングソフトを通じて受け取りました。これは誰かが私のさまざまな金融プラットフォームのアカウントにログインしようとしていると私に信じさせるものでした。疑わしい運営者のSMSとは異なり、これらのパスコードは実際に合法的に見えるショートコードから来ています。
フィッシング電話
SMSを受信して約5分後、カリフォルニアの番号から電話がかかってきました。「メイソン」と名乗る電話の相手は、純正なアメリカのアクセントで、ある取引プラットフォームの調査チームから来たと主張しました。彼は、過去30分間にプラットフォームのチャットウィンドウで30回以上のパスワードリセットの試行とアカウント侵入の行為があったと述べました。「メイソン」の説明によれば、いわゆる攻撃者はパスワードリセットの第一段階のセキュリティ検証を通過したが、第二段階の認証で失敗したとのことです。
彼は私に、相手が私の身分証明書の最後の4桁、完全な運転免許証番号、住所、フルネームを提供できるが、完全な身分証明書番号や関連アカウントの銀行カードの最後の4桁を提供できなかったと教えてくれました。メイソンは、この矛盾がプラットフォームのセキュリティチームの警報を引き起こし、彼らが私に連絡して真偽を確認するきっかけになったと説明しました。
正規の取引所のような企業は、公式ウェブサイトを通じてサービスリクエストを行わない限り、ユーザーに積極的に電話をかけることは決してありません。
! 【Coinbaseフィッシング詐欺「教科書」:専門家も冷や汗をかく攻撃レビューと詐欺対策ガイド】(https://img-cdn.gateio.im/webp-social/moments-f5cd73bacb983228794200da44a9b224.webp)
セキュリティチェック
"悪い知らせ"を告げた後、メイソンは私のアカウントを保護するために追加の攻撃経路を封鎖することを提案しました。彼はAPI接続や関連ウォレットから始め、リスクを減らすためにそれらのアクセス権を取り消すと主張しました。彼はいくつかの接続対象を挙げ、特定の取引所、分析ツール、ウォレットなどが含まれており、その中には私が知らないものもありましたが、私はおそらく自分が以前に設定したものを忘れてしまったのだと思います。
この時、私の警戒心は低下し、プラットフォームの「積極的な保護」によって安心感を覚えました。
ここまで、Masonは個人情報、ウォレットアドレス、二重認証コード、またはワンタイムパスワードを要求していません。これらは通常、フィッシング詐欺師がよく要求する情報です。全体のインタラクションプロセスは非常に安全で予防的です。
暗黙の圧力
次に、初めての圧力の試みが現れ、緊急感と脆弱性を生み出しました。いわゆる「安全チェック」を完了した後、メイソンは私のアカウントが高リスクとしてマークされたため、プラットフォームの高級アカウントの保護が終了したと主張しました。これは、私のプラットフォームウォレットの資産がもはや保険の対象外となり、攻撃者が資金を盗むことに成功した場合、私はいかなる補償も受けられないことを意味します。
今振り返ると、この言い分は明らかな矛盾にすべきだった。銀行預金とは異なり、暗号資産は常に保険の保護を受けない。取引所は顧客のドルを保険付きの銀行に預けることがあるが、取引所自体は保険機関ではない。
メイソンはまた、24時間のカウントダウンが始まったことを警告し、期限を過ぎたアカウントはロックされると述べています。ロック解除には複雑で長いプロセスが必要です。さらに恐ろしいことに、彼は攻撃者がこの期間中に私の完全な社会保障番号を取得すれば、アカウントが凍結されている状態でも資金を盗むことができると主張しています。
後に、私は本当のプラットフォームのカスタマーサポートチームに相談し、アカウントをロックすることが彼らの推奨する安全対策であることを知りました。アンロックプロセスは実際には簡単で安全です:身分証明書の写真と自撮りを提供し、プラットフォームが身分を確認した後、迅速にアクセスを回復できます。
その後、私は2通のメールを受け取りました。最初のメールはプラットフォームのニュースレター登録確認書で、これは攻撃者が公式ウェブサイトのフォームを通じて私のメールアドレスを提出したことでトリガーされた通常のメールです。これは明らかに公式なメールを使って私の判断を混乱させ、詐欺の信頼性を高めようとする試みです。
二通目のより不安を引き起こすメールは、プラットフォームの公式ドメインのように見えるアドレスから届き、私のプレミアムアカウントの保護が解除されたと宣言しています。この一見正規のドメインからのメールは非常に誤解を招くもので、疑わしいドメインからのものであれば簡単に見破ることができたでしょうが、公式アドレスとして表示されているため、真実味があり信用できるように見えます。
推奨される救済策
メイソンは私の資産を「Vault」と呼ばれるマルチシグウォレットに移すことを提案し、安全性を確保しました。彼は、これはプラットフォームの数年間の正式なサービスであることを証明するために公式文書を検索して調べるように私にさえ言いました。
私は十分に調査する前に、そのような重大な変更を行いたくないと表明しました。彼は理解を示し、私が慎重に調査することを奨励し、またSIM交換を防ぐためにまず通信事業者に連絡することをサポートしました。彼は30分後に電話をかけ直して続きの手順について話すと言いました。通話が終わった後、私はこの通話と予約の確認のSMSをすぐに受け取りました。
コールバックと「ボールト」
キャリアでSIMの移行試行がないことを確認した後、私はすぐにすべてのアカウントのパスワードを変更しました。メイソンは約束通りに電話をかけてきて、私たちは次のステップについて話し始めました。
この時点で、"Vault"がこのプラットフォームが提供する実際のサービスであることを確認しました。これは、マルチシグの承認と24時間の遅延引き出しを通じてセキュリティを強化するカストディアルソリューションですが、真の自己管理型コールドウォレットではありません。
メイソンは、その後、最初の通話で議論されたセキュリティ設定を再確認できると主張する関連性のあるドメインリンクを送信しました。再確認が完了すれば、資産をVaultに転送できます。この瞬間、私のネットワークセキュリティの専門知識がついに役立ちました。
彼が提供した事例番号を入力すると、開いたページには「API接続が削除されました」と「Vaultを作成」ボタンが表示されます。私はすぐにウェブサイトのSSL証明書を確認し、この登録されたばかりのドメインがプラットフォームとは全く関係がないことを発見しました。SSL証明書は通常、合法性の偽装を演出することができますが、正式な企業の証明書には明確な帰属があるため、この発見によって私はすぐに操作を停止しました。
正規プラットフォームは、非公式ドメインを使用することは絶対にないと明言しています。たとえサードパーティのサービスを使用する場合でも、サブドメイン形式であるべきです。アカウントに関するすべての操作は、公式のアプリまたはウェブサイトを通じて行う必要があります。
私はMasonに懸念を表明し、公式APPを通じてのみ操作することを強調しました。彼は、APP操作が48時間の遅延を引き起こし、アカウントが24時間後にロックされると主張しました。私は再度、慌てた決定を拒否し、彼はケースを「3級サポートチーム」にエスカレーションし、私の高級アカウント保護の復旧を試みると述べました。
電話を切った後、私は他のアカウントの安全性を確認し続け、不安感がますます強まった。
! Coinbaseフィッシング詐欺「教科書」:専門家でさえ冷や汗攻撃のレビューと詐欺防止ガイドでブレイクアウト
"三級サポートチーム"からの電話
約30分後、テキサスの番号から電話がかかってきた。別のアメリカのアクセントの人が自称三級調査員で、私のアカウント回復申請を処理していると言った。彼は7日間の審査期間が必要だと言い、その間アカウントは保険がないままだと言った。また、異なるチェーン上の資産のために複数のVaultを開設することを"親切に"提案したが、専門的に見える一方で、具体的な資産については一切触れず、ただ"イーサリアム、ビットコインなど"と漠然と指摘した。
彼は法務部門にチャット履歴の送信を申請すると言及し、その後Vaultを販売し始めました。代替として、SafePalという名前のサードパーティウォレットを推奨しましたが、SafePalは確かに正規のハードウェアウォレットですが、これは明らかに信頼を得るための布石です。
再度疑問を呈したとき、相手は依然として疑念を払拭しようと試みた。この時点で攻撃者は成功が難しいことを認識し、最終的にこのフィッシング攻撃を放棄した。
プラットフォームの真のカスタマーサービスに連絡する
第二の偽カスタマーサービス担当者との通話を終えた後、私はすぐに公式チャネルを通じて申請を提出しました。本当のカスタマーサービスの代表者は、私のアカウントに異常なログインやパスワードリセットの要求がないことを迅速に確認しました。
彼はすぐにアカウントをロックし、攻撃の詳細を調査チームに提出することを提案しました。私はすべての詐欺ドメイン、電話番号、攻撃の手段を提供し、特に公式に見えるメールアドレスの送信権限の問題について尋ねました。カスタマーサポートはこれは非常に深刻であると認め、安全チームが徹底的に調査することを約束しました。
取引所または保管業者のカスタマーサービスに連絡する際は、必ず公式なチャネルを通じて行ってください。正規の企業がユーザーに積極的に連絡することはありません。
経験のまとめ
幸運にも騙されることはありませんでしたが、元ネットワークセキュリティの専門家として、この危うく引っかかりそうになった経験は私に深い不安をもたらしました。専門的な訓練がなければ、私は騙されていたかもしれません。普通の知らない電話であれば、私はすぐに切っていたでしょう。攻撃者が巧妙に設計した連続的な行動が、緊急感と権威性を生み出して、このフィッシングが非常に危険だったのです。
私は以下の危険信号と防護提案をまとめました。これが投資家が現在のネットワーク環境で資金の安全を保障するのに役立つことを願っています。
レッドフラッグ
協調して虚偽の警報を作り出し、混乱と緊迫感を生む
攻撃者はまず、一連のSIMカード交換アラートと複数のサービスからのワンタイムパスワードリクエスト(を同時にSMSおよびインスタントメッセージングアプリで送信し)、複数のプラットフォームが同時に攻撃を受けているかのような偽の印象を意図的に作り出します。これらの情報は、私の電話番号と電子メールアドレスを取得するだけでトリガーできる可能性が高く、これらの情報は容易に取得できます。この段階では、攻撃者はまだより深いアカウントデータを掌握していないと考えています。
ショートコードと通常の電話番号の混在
フィッシング情報は、SMSショートコードと通常の電話番号の組み合わせで送信されます。企業は通常、公式の通信にショートコードを使用しますが、攻撃者はこれらのショートコードを偽造したり再利用したりすることができます。ただし、正式なサービスは決して通常の電話番号を使用してセキュリティ警告を送信することはありません。標準の長さの番号からのメッセージには常に疑念を持つべきです。
公式でないか、知らないドメインを使用して操作することを要求します
攻撃者は私にアクセスするよう要求しています