Praça
Início
Mais recentes
Em alta
Insights
Transmissões ao vivo
Tudo
Análise de mercado
Assuntos populares
Blockchain
Outros
Bate-papo
Calendário Cripto
Notícias
Blog da Gate
Mais
Guia do iniciante
Início
Mais recentes
Em alta
Insights
Publicação

Especialistas em segurança cibernética quase foram vítimas de phishing sofisticado, 16 bilhões de dados vazados geram crise.

LiquidationWatchervip

O ataque de phishing sofisticado que quase enganou até os especialistas em segurança cibernética

Recentemente, um enorme conjunto de dados contendo 16 bilhões de informações de usuários começou a circular na internet, incluindo dados vazados no passado e informações de login recentemente roubadas. Embora a maior parte seja uma reorganização de dados antigos, os dados atualizados ainda são perturbadores. Isso é considerado um dos maiores conjuntos de vazamento de contas únicas da história.

Os hackers estão a utilizar esses dados para lançar vários ataques, e eu tornei-me um dos seus alvos.

O ataque de phishing dirigido ao meu dispositivo e conta pessoal no dia 19 de junho foi o mais sofisticado que encontrei em meus dez anos de carreira em segurança cibernética. Os atacantes primeiro criaram a ilusão de que minha conta estava sendo atacada em várias plataformas, e depois se passaram por funcionários de uma plataforma de negociação oferecendo "ajuda". Eles combinaram técnicas de engenharia social com táticas de coordenação através de SMS, telefonemas e e-mails falsificados, todas projetadas para criar uma falsa sensação de urgência, credibilidade e efeito de escala. Esse ataque falso teve um alcance amplo e uma autoridade extrema, que é precisamente o que torna o ataque tão enganoso.

Abaixo, descreverei detalhadamente o processo de ataque, analisarei os sinais de perigo envolvidos e as medidas de proteção que tomei. Também compartilharei lições-chave e sugestões práticas para ajudar os investidores a garantir a segurança em um ambiente de ameaças em constante evolução.

Dados históricos e dados recentemente vazados podem ser usados por hackers para implementar ataques multicanais altamente direcionados. Isso reafirma a importância de uma proteção de segurança em camadas, de um mecanismo de comunicação clara com os usuários e de uma estratégia de resposta em tempo real. Tanto instituições quanto usuários individuais podem obter ferramentas práticas a partir deste caso, incluindo protocolos de verificação, hábitos de reconhecimento de domínios e passos de resposta, que podem ajudar a evitar que um descuido momentâneo se transforme em uma grave vulnerabilidade de segurança.

​​"Manual" do golpe de phishing da Coinbase: uma análise de ataque que deixou até especialistas em pânico e guia de prevenção de fraudes​​

Sequestro de SIM

O ataque começou por volta das 15h15 de uma tarde, uma mensagem anônima afirmava que alguém estava tentando enganar a operadora de telefonia móvel para que divulgasse o meu número de telefone a terceiros, essa tática de ataque é conhecida como troca de SIM.

É importante notar que esta informação não vem de um código curto, mas sim de um número de telefone comum de 10 dígitos. Empresas legítimas que enviam mensagens de texto utilizam códigos curtos. Se receber mensagens de um número longo padrão desconhecido, que afirma ser de uma empresa, é altamente provável que seja uma tentativa de fraude ou phishing.

Estas informações também contêm conteúdo contraditório. A primeira mensagem de texto indica que a violação ocorreu na área da baía de São Francisco, enquanto as mensagens subsequentes afirmam que ocorreu em Amsterdã.

A troca de SIM, uma vez bem-sucedida, é extremamente perigosa, pois os atacantes podem obter o código de verificação único que a maioria das empresas usa para redefinir senhas ou acessar contas. No entanto, desta vez não se tratou de uma troca de SIM real, os hackers estavam preparando o terreno para um golpe mais sofisticado.

Código de verificação único e redefinição de senha

O ataque rapidamente escalou, e comecei a receber sucessivamente códigos de verificação únicos, supostamente enviados por uma plataforma de pagamento, através de mensagens SMS e aplicativos de mensagens instantâneas. Isso me fez acreditar que alguém estava tentando acessar as minhas contas em várias plataformas financeiras. Ao contrário das mensagens SMS de operadores suspeitos, esses códigos de verificação realmente pareciam vir de códigos curtos legítimos.

Chamadas de phishing

Recebi uma chamada de um número da Califórnia cerca de cinco minutos após receber a mensagem. O chamador, que se apresentou como "Mason", falava com um sotaque americano autêntico e alegou fazer parte da equipe de investigação de uma plataforma de negociação. Ele disse que, nos últimos 30 minutos, houve mais de 30 tentativas de redefinir a senha e invadir a conta através da janela de chat da plataforma. De acordo com "Mason", o suposto atacante havia passado pela primeira camada de verificação de segurança para redefinição de senha, mas falhou na segunda camada de autenticação.

Ele me disse que a outra parte podia fornecer os últimos quatro dígitos do meu cartão de identidade, o número completo da carteira de motorista, o endereço da família e o nome completo, mas não conseguiu fornecer o número completo do cartão de identidade ou os últimos quatro dígitos do cartão bancário associado à conta. Mason explicou que foi essa contradição que acionou o alerta da equipe de segurança da plataforma, levando-os a entrar em contato comigo para verificar a autenticidade.

Empresas como bolsas de valores regulamentadas nunca ligarão proativamente aos usuários, a menos que você inicie um pedido de serviço através do site oficial.

​​"Manual" do golpe de phishing da Coinbase: uma análise de ataque que deixou até os especialistas com frio na espinha e um guia de prevenção contra fraudes​​

Verificação de Segurança

Após me informar sobre essa "má notícia", Mason sugeriu proteger minha conta bloqueando canais de ataque adicionais. Ele começou com conexões de API e carteiras associadas, afirmando que revogaria o acesso a elas para reduzir riscos. Ele listou vários objetos conectados, incluindo algumas plataformas de negociação, ferramentas de análise, carteiras, etc., algumas das quais eu não reconheço, mas suponho que possam ter sido configuradas por mim e que eu esqueci.

Neste momento, a minha vigilância diminuiu, até me sinto tranquilo por causa da "proteção ativa" da plataforma.

Até agora, Mason ainda não pediu nenhuma informação pessoal, endereço de carteira, código de verificação em duas etapas ou senha única, que geralmente são informações comuns solicitadas por phishers. Todo o processo de interação é muito seguro e preventivo.

Métodos de pressão discreta

Em seguida, houve a primeira tentativa de pressão, criando um senso de urgência e vulnerabilidade. Após a conclusão da chamada "verificação de segurança", Mason alegou que, devido ao fato de minha conta ter sido marcada como de alto risco, a proteção da conta premium da plataforma foi encerrada. Isso significa que meus ativos na carteira da plataforma não estão mais cobertos por seguro, e se um atacante conseguir roubar os fundos, não poderei obter qualquer compensação.

Agora, olhando para trás, essa linha de raciocínio deveria ter se tornado uma evidente falha. Ao contrário dos depósitos bancários, os ativos criptográficos nunca são protegidos por seguros; embora as corretoras possam manter os dólares dos clientes em bancos segurados, a corretora em si não é uma instituição segurada.

Mason também alertou que a contagem regressiva de 24 horas já começou, e as contas em atraso serão bloqueadas. O desbloqueio exigirá um processo complexo e demorado. O mais assustador é que ele afirma que, se o atacante obtiver meu número de seguridade social completo durante esse período, poderá até roubar fundos mesmo com a conta congelada.

Mais tarde, consultei a verdadeira equipe de atendimento ao cliente da plataforma e soube que o bloqueio da conta é exatamente a medida de segurança que eles recomendam. O processo de desbloqueio é, na verdade, simples e seguro: basta fornecer uma foto do documento de identidade e uma selfie, e a plataforma, após verificar a identidade, poderá restaurar rapidamente o acesso.

Depois, recebi dois e-mails. O primeiro é uma confirmação de inscrição na newsletter da plataforma, que é apenas um e-mail normal gerado pelo atacante ao submeter meu e-mail através do formulário oficial. Isso é claramente uma tentativa de confundir meu julgamento com um e-mail oficial, para aumentar a credibilidade da fraude.

O segundo e-mail ainda mais perturbador veio de um endereço que parece ser o domínio oficial da plataforma, afirmando que a proteção da minha conta premium foi cancelada. Este e-mail, que parece vir de um domínio legítimo, é extremamente enganador - se tivesse vindo de um domínio suspeito, seria facilmente reconhecido, mas devido a ser exibido como um endereço oficial, parece real e confiável.

Medidas corretivas sugeridas

Mason sugeriu então transferir os meus ativos para uma wallet multi-assinatura chamada "Vault" para garantir a segurança. Ele até me pediu para pesquisar a documentação oficial, para provar que este é um serviço legítimo da plataforma ao longo dos anos.

Eu disse que não estava disposto a fazer uma mudança tão significativa sem uma investigação adequada. Ele disse que compreendia e me encorajou a pesquisar cuidadosamente, ao mesmo tempo que apoiava que eu entrasse em contato com a operadora para prevenir a troca de SIM. Ele afirmou que ligaria de volta em 30 minutos para continuar os próximos passos. Após desligar, recebi imediatamente uma mensagem de texto confirmando a chamada e o agendamento.

Devolução e "Vault"

Após confirmar que não houve tentativas de transferência de SIM com a operadora, eu imediatamente mudei todas as senhas das contas. Mason retornou a chamada como combinado e começamos a discutir os próximos passos.

Neste momento, verifiquei que o "Vault" é de fato um serviço real oferecido pela plataforma, que é uma solução de custódia que aumenta a segurança através de autorização multi-assinatura e um período de espera de 24 horas para retiradas, mas não é uma verdadeira carteira fria de auto-custódia.

Mason enviou em seguida um link de domínio aparentemente relacionado, afirmando que era possível rever as configurações de segurança discutidas na primeira chamada. Após completar a revisão, os ativos poderiam ser transferidos para o Vault, e neste momento a minha formação em cibersegurança finalmente teve utilidade.

Depois de inserir o número de caso que ele forneceu, a página aberta exibia o suposto botão "API de conexão removida" e o botão "Criar Vault". Eu imediatamente verifiquei o certificado SSL do site e descobri que o domínio, registrado há apenas um mês, não tinha nenhuma relação com a plataforma. Embora os certificados SSL geralmente possam criar uma ilusão de legitimidade, os certificados de empresas legítimas têm uma atribuição clara, e essa descoberta me fez parar imediatamente a operação.

Plataformas regulamentadas afirmam claramente que nunca usarão domínios não oficiais. Mesmo ao usar serviços de terceiros, deve ser na forma de subdomínio. Qualquer operação relacionada à conta deve ser realizada através do aplicativo ou site oficial.

Eu expressei minhas preocupações ao Mason, enfatizando que só desejava operar através do aplicativo oficial. Ele argumentou que operar pelo aplicativo resultaria em um atraso de 48 horas, e que a conta seria bloqueada após 24 horas. Eu recusei novamente a decisão apressada, e ele então afirmou que o caso seria elevado para a "equipe de suporte de nível três" para tentar restaurar a proteção da minha conta premium.

Depois de desligar o telefone, continuei a verificar a segurança de outras contas, e a sensação de inquietação aumentava.

​​"Manual" do golpe de phishing da Coinbase: uma análise de ataque que até especialistas deixaram suados e um guia de prevenção de fraudes​​

"Equipe de Suporte de Nível 3" a ligar

Cerca de meia hora depois, recebo uma chamada de um número do Texas. Outra pessoa com sotaque americano se apresenta como investigador de terceira classe, que está tratando do meu pedido de recuperação de conta. Ele afirma que precisa de um período de revisão de 7 dias, durante o qual a conta ainda não está segurada. Ele ainda "sugere gentilmente" abrir múltiplos Vaults para diferentes ativos em blockchain, parecendo profissional, mas na verdade nunca menciona ativos específicos, apenas se refere vagamente a "Ethereum, Bitcoin, etc.".

Ele mencionou que iria solicitar ao departamento jurídico o envio do histórico de chats, e em seguida começou a promover o Vault. Como alternativa, ele recomendou uma carteira de terceiros chamada SafePal, embora a SafePal seja uma carteira de hardware legítima, isso é claramente um pretexto para enganar.

Quando questionei novamente o domínio suspeito, a outra parte ainda tentou dissipar as dúvidas. Até este ponto, o atacante pode ter percebido que seria difícil ter sucesso e, por fim, desistiu do ataque de phishing desta vez.

Contacte o verdadeiro serviço de apoio ao cliente da plataforma

Após terminar a chamada com o segundo falso atendente, imediatamente enviei um pedido através dos canais oficiais. O verdadeiro representante de atendimento ao cliente rapidamente confirmou que a minha conta não tinha solicitações de login anormais ou de redefinição de senha.

Ele sugeriu bloquear a conta imediatamente e coletar os detalhes do ataque para enviar à equipe de investigação. Eu forneci todos os domínios fraudulentos, números de telefone e métodos de ataque, especialmente questionando a questão dos direitos de envio de endereços de e-mail que pareciam oficiais. O atendimento ao cliente reconheceu que isso era muito sério e prometeu que a equipe de segurança iria investigar a fundo.

Ao contactar a equipa de apoio ao cliente da bolsa ou do custodiante, certifique-se de que o faz através de canais oficiais. Empresas legítimas nunca entrarão em contacto proativamente com os usuários.

Resumo de Experiência

Embora tenha tido a sorte de não ser enganado, como ex-profissional de segurança cibernética, esta experiência em que quase caí em um golpe me deixa profundamente inquieto. Se não fosse pelo treinamento profissional, eu poderia ter sido enganado. Se fosse apenas uma chamada de um estranho comum, eu certamente teria desligado imediatamente. Foi exatamente a ação em cadeia meticulosamente planejada pelos atacantes, que criou uma sensação de urgência e autoridade, que tornou essa tentativa de phishing tão perigosa.

Resumir os seguintes sinais de alerta e recomendações de proteção, na esperança de ajudar os investidores a garantir a segurança dos seus fundos no atual ambiente de rede.

Sinal de Perigo

Colaboração de alarmes falsos cria confusão e urgência

Os atacantes primeiro geram alarmes através de uma série de trocas de cartões SIM e solicitações de códigos de verificação únicos de vários serviços ( enviados simultaneamente por SMS e aplicativos de mensagens instantâneas ), criando deliberadamente a ilusão de que várias plataformas estão sendo atacadas ao mesmo tempo. Essas informações provavelmente só precisam do meu número de telefone e e-mail para serem acionadas, e essas informações são fáceis de obter. Neste estágio, acredito que os atacantes ainda não têm acesso a dados de conta mais profundos.

Códigos curtos e números de telefone comuns misturados

As informações de phishing são enviadas usando uma combinação de códigos curtos SMS e números de telefone regulares. Embora as empresas geralmente usem códigos curtos para comunicações oficiais, os atacantes podem falsificar ou reutilizar esses códigos curtos. No entanto, é importante notar que serviços legítimos nunca enviarão alertas de segurança usando números de telefone comuns. As mensagens provenientes de números de comprimento padrão devem sempre ser vistas com suspeita.

Exigir operação através de domínios não oficiais ou desconhecidos

O atacante pede-me para aceder

Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Recompensa
  • 6
  • Compartilhar
Comentário
0/400
BrokenDAOvip
· 33m atrás
Oh, mais um especialista comum que se tornou um caso, provando que o custo de confiança sempre existe.
Ver originalResponder0
PrivacyMaximalistvip
· 14h atrás
A paradox da segurança da informação~ Não importa quanto se aprenda, não se consegue suportar.
Ver originalResponder0
SnapshotDayLaborervip
· 07-13 01:14
A rede inteira já não está segura, estou em pânico.
Ver originalResponder0
GateUser-a606bf0cvip
· 07-13 01:14
Aceito que o pro também pode falhar?
Ver originalResponder0
LiquidationWatchervip
· 07-13 01:14
Muito cruel, até os especialistas caíram na armadilha.
Ver originalResponder0
RektButSmilingvip
· 07-13 01:00
Ninguém consegue parar o Hacker Senhor.
Ver originalResponder0
  • Marcar
sitemap
Faça trade de criptomoedas em qualquer lugar e a qualquer hora
qrCode
Escaneie o código para baixar o app da Gate
Comunidade
Português (Brasil)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasRedaçãoParceirosTermo de Acordo do UsuárioAviso de RiscoPolítica de PrivacidadePolítica de cookiesKit de mídiaProva de 100% de reservasLicençaSegurançaGateToken (GT)Gate ChainAgendaAutoridadesCúpulasGate Ventures
    Comprar criptoVender criptoNegociação spotNegociação de futurosMargemTokens alavancadosNFTGate PayGate LifeGift cardGate OTCGate CharityCartão da GateLoja GateHodl & EarnEmpréstimo de criptomoedas
    Benefícios VIPInstitucionalOpinião do usuárioComunicadoTaxasCentral de AjudaAbrir um chamado de suporteListagemContrato inteligente seguroDesenvolvedoresBusca de VerificaçãoAplicar para Mercador P2PAplicar para Blue V P2PPrograma de afiliadosCalendário CriptoSolução Cross-Chain da
    Gate LearnCursos de criptoGlossário de criptomoedasPreços de criptomoedaBig DataHalving de BitcoinCrypto Wiki
    Gate © 2013-2025.