Даже эксперты по кибербезопасности чуть не попались на утонченную фишинговую атаку

Недавно в интернете распространился гигантский набор данных, содержащий 16 миллиардов пользовательских данных, который включает как ранее утеченные данные, так и недавно украденные учетные данные. Хотя большая часть данных является переработкой старых данных, обновленные данные все равно вызывают беспокойство. Это считается одним из крупнейших в истории наборов утечек учетных данных.

Хакеры используют эти данные для проведения различных атак, и я стал одной из их целей.

19 июня произошла фишинговая атака на мои личные устройства и аккаунты, которая была самой сложной за мои десять лет в сфере кибербезопасности. Нападающие сначала создали видимость, что мой аккаунт подвергся атакам на нескольких платформах, а затем выдали себя за сотрудников одной из торговых платформ, предлагая "помощь". Они объединили методы социального инжиниринга с совместной тактикой через SMS, телефонные звонки и поддельные электронные письма, все их действия были направлены на создание ложного чувства срочности, доверия и эффекта масштаба. Эта ложная атака охватила широкий круг и обладала высокой авторитетностью, именно поэтому она была такой обманчивой.

Ниже я подробно восстановлю процесс атаки, проанализирую опасные сигналы и меры, которые я предпринял для защиты. Также поделюсь ключевыми уроками и практическими рекомендациями, чтобы помочь инвесторам обеспечить безопасность в условиях постоянно усиливающейся угрозы.

Исторические данные и недавно утеченные данные могут быть использованы хакерами для осуществления высоко целенаправленных многоканальных атак. Это снова подтверждает важность многоуровневой безопасности, четких механизмов коммуникации с пользователями и стратегий реагирования в реальном времени. Как институциональные, так и частные пользователи могут извлечь полезные инструменты из этого случая, включая протоколы проверки, привычки распознавания доменов и шаги реагирования, которые могут помочь предотвратить временные упущения, превратившиеся в серьезные уязвимости безопасности.

Перехват SIM-карты

Атака началась около 15:15 в один из дней, когда анонимное сообщение заявило, что кто-то пытается обмануть мобильного оператора, чтобы тот выдал мой номер телефона другим лицам. Этот метод атаки называется SIM-обменом.

Важно отметить, что это сообщение не отправлено с короткого номера, а является обычным 10-значным номером телефона. Официальные компании всегда используют короткие номера для отправки сообщений. Если вы получили сообщение от неизвестного стандартного длинного номера, утверждающего, что он представляет компанию, это, скорее всего, мошенничество или попытка фишинга.

Эта информация также содержит противоречивые данные. Первое сообщение показывает, что утечка произошла в районе залива Сан-Франциско, в то время как последующие сообщения утверждают, что она произошла в Амстердаме.

SIM-смена, как только она будет успешной, будет крайне опасной, так как злоумышленники могут получить одноразовые коды подтверждения, которые большинство компаний использует для сброса паролей или доступа к аккаунтам. Но в этот раз это не настоящая SIM-смена, хакеры готовят почву для более изощренной мошеннической схемы.

Одноразовый код и сброс пароля

Атака затем усилилась, я последовательно получал одноразовые коды подтверждения, якобы от какой-то платежной платформы, отправленные через SMS и мессенджеры. Это заставило меня поверить, что кто-то пытается войти в мои аккаунты на различных финансовых платформах. В отличие от подозрительных SMS от операторов, эти коды подтверждения действительно приходили от, казалось бы, легитимных коротких номеров.

Фишинговый звонок

Получив сообщение, примерно через пять минут я получил звонок с номера из Калифорнии. Звонивший под именем "Мейсон" говорил с чистым американским акцентом и утверждал, что он из группы расследования какой-то торговой платформы. Он сказал, что за последние 30 минут в окне чата платформы произошло более 30 попыток сброса пароля и взлома аккаунта. По словам "Мейсона", так называемый атакующий прошел первую ступень безопасности сброса пароля, но потерпел неудачу на второй ступени аутентификации.

Он сказал мне, что другая сторона может предоставить последние четыре цифры моего удостоверения личности, полный номер водительского удостоверения, адрес проживания и полное имя, но не смогла предоставить полный номер удостоверения личности или последние четыре цифры банковской карты, связанной с аккаунтом. Мейсон объяснил, что именно это противоречие вызвало сигнал тревоги у команды безопасности платформы, что побудило их связаться со мной для проверки подлинности.

Компании, подобные обычным биржам, никогда не будут инициировать звонок пользователям, если только вы не инициировали запрос на обслуживание через официальный сайт.

Проверка безопасности

После того как я сообщил эту "плохую новость", Мэйсон предложил защитить мой аккаунт, заблокировав дополнительные каналы атаки. Он начал с API-соединений и связанных кошельков, утверждая, что отменит их доступ для снижения риска. Он перечислил несколько объектов подключения, включая некоторые торговые платформы, аналитические инструменты, кошельки и т.д., некоторые из которых я не знаю, но предполагаю, что это могут быть те, которые я когда-то настроил, но забыл.

В этот момент моя настороженность снизилась, и я даже почувствовал себя в безопасности благодаря "активной защите" платформы.

На данный момент Mason не запрашивал никакой личной информации, адреса кошелька, двуфакторной аутентификации или одноразового пароля, которые обычно являются распространённой информацией, запрашиваемой фишерами. Весь процесс взаимодействия имеет высокую степень безопасности и является профилактическим.

Невидимые методы давления

Затем была предпринята первая попытка давления, создавая ощущение срочности и уязвимости. После завершения так называемой "проверки безопасности" Мэйсон заявил, что из-за того, что мой аккаунт был помечен как высокорискованный, защита высококлассных аккаунтов на платформе была прекращена. Это означает, что активы в моем кошельке на платформе больше не покрываются страховкой, и если злоумышленник успешно украдет средства, я не смогу получить никакую компенсацию.

Теперь, оглядываясь назад, эта уловка должна была стать очевидным недостатком. В отличие от банковских депозитов, криптоактивы никогда не защищены страховкой; хотя биржи могут хранить доллары клиентов в застрахованных банках, сама биржа не является застрахованным учреждением.

Мейсон также предупредил, что 24-часовой отсчет уже начался, и просроченные аккаунты будут заблокированы. Разблокировка потребует сложного и длительного процесса. Более того, он утверждает, что если злоумышленник получит мой полный номер социального обеспечения в этот период, он даже сможет украсть средства, находясь в состоянии заморозки счета.

Позже я проконсультировался с настоящей службой поддержки платформы и узнал, что блокировка аккаунта является рекомендуемой ими мерой безопасности. Процесс разблокировки на самом деле прост и безопасен: предоставьте фотографию удостоверения личности и селфи, после проверки личности платформа быстро восстановит доступ.

Затем я получил два письма. Первое - это подтверждение подписки на новости платформы, оно было отправлено автоматически, когда злоумышленник заполнил форму на официальном сайте с моим адресом электронной почты. Это явно попытка запутать меня с помощью официального письма, чтобы повысить доверие к мошенничеству.

Второе, более тревожное письмо пришло с адреса, который, по-видимому, принадлежит официальному домену платформы, в котором утверждается, что защита моего премиум-аккаунта была отменена. Это письмо, выглядящее как будто пришло с законного домена, крайне вводит в заблуждение – если бы оно пришло с подозрительного домена, его можно было бы легко распознать, но из-за того, что оно отображается как официальный адрес, оно кажется правдоподобным.

Рекомендуемые меры по устранению

Мейсон затем предложил перевести мои активы в мультиподписной кошелек под названием "Vault", чтобы обеспечить безопасность. Он даже заставил меня поискать официальную документацию, чтобы доказать, что это стандартная услуга платформы на протяжении многих лет.

Я выразил нежелание вносить такие серьезные изменения, не проведя достаточное расследование. Он сказал, что понимает и призывает меня тщательно изучить вопрос, а также поддерживает мою идею сначала связаться с оператором для предотвращения обмена SIM-картами. Он сказал, что перезвонит через 30 минут, чтобы продолжить последующие шаги. После завершения разговора я сразу получил SMS с подтверждением этого звонка и записи.

Обратный звонок и "Vault"

После того как я подтвердил, что у оператора не было попыток переноса SIM-карты, я сразу изменил все пароли к аккаунтам. Мейсон позвонил, как и обещал, и мы начали обсуждать следующий шаг.

В этот момент я подтвердил, что "Vault" действительно является реальной услугой, предоставляемой этой платформой; это схема хранения, которая усиливает безопасность с помощью многоподписного разрешения и 24-часовой задержки вывода средств, но не является настоящим самообслуживаемым холодным кошельком.

Затем Мэйсон прислал ссылку на, казалось бы, соответствующий домен, утверждая, что можно пересмотреть настройки безопасности, обсуждаемые в первом звонке. После завершения проверки активы можно будет перевести в Vault, и в этот момент мои навыки в области кибербезопасности наконец-то пригодились.

После ввода предоставленного им номера случая, открывшаяся страница показала так называемые кнопки "API-соединение удалено" и "Создать хранилище". Я немедленно проверил SSL-сертификат сайта и обнаружил, что домен, зарегистрированный всего месяц назад, не имеет никакого отношения к платформе. Хотя SSL-сертификаты обычно создают иллюзию законности, у сертификатов нормальных компаний всегда есть четкое указание на владельца, и это открытие заставило меня немедленно прекратить операции.

Официальные платформы ясно заявляют, что никогда не будут использовать неофициальные домены. Даже если используются сторонние сервисы, это должно быть в форме поддомена. Все операции, связанные с аккаунтом, должны выполняться через официальное приложение или сайт.

Я выразил свои сомнения Масону, подчеркнув, что хочу действовать только через официальное приложение. Он утверждал, что операции через приложение приведут к задержке в 48 часов, а аккаунт будет заблокирован через 24 часа. Я снова отказался от поспешного решения, и он заявил, что передаст дело в "третью линию поддержки", чтобы попытаться восстановить мою защиту высокого уровня аккаунта.

После окончания звонка я продолжал проверять безопасность других аккаунтов, и чувство беспокойства становилось все сильнее.

"Трехуровневая служба поддержки" звонит

Примерно через полчаса поступил звонок с техасского номера. Другой человек с американским акцентом представился как третий уровень следователя и сообщил, что занимается моим запросом на восстановление аккаунта. Он заявил, что необходимо 7 дней на рассмотрение, в течение которых аккаунт остается без страховки. Он также "заботливо" предложил открыть несколько Vault для различных активов на разных блокчейнах, что звучит профессионально, но на самом деле он никогда не упоминал конкретные активы, лишь расплывчато указал на "эфир, биткойн и т.д.".

Он упомянул, что подаст заявку в юридический отдел на отправку записей чата, а затем начал рекламировать Vault. В качестве альтернативы он рекомендовал сторонний кошелек под названием SafePal, хотя SafePal действительно является легитимным аппаратным кошельком, но это явно подготовка к обману доверия.

Когда я снова сомневался в подозрительном домене, противная сторона всё ещё пыталась развеять сомнения. На этом этапе злоумышленник, возможно, осознал, что ему будет трудно добиться успеха, и в конечном итоге отказался от этой фишинговой атаки.

Связаться с настоящей службой поддержки платформы

После завершения разговора со вторым фальшивым сотрудником службы поддержки, я немедленно подал заявку через официальный канал. Настоящий представитель службы поддержки быстро подтвердил, что с моим аккаунтом нет необычных входов или запросов на сброс пароля.

Он предложил немедленно заблокировать аккаунт и собрать детали атаки для подачи в следственную группу. Я предоставил все мошеннические домены, номера телефонов и способы атаки, особенно уточнил вопрос о правах отправителя, который выглядит как официальный адрес электронной почты. Служба поддержки признала, что это очень серьезно, и пообещала, что команда безопасности проведет полное расследование.

При обращении в службу поддержки биржи или кастодиана обязательно используйте официальные каналы. Нормальные компании никогда не будут主动联系 пользователей.

Итоги опыта

Хотя мне повезло и я не попался на обман, как бывший специалист по кибербезопасности, этот опыт, когда я едва не стал жертвой, вызывает у меня глубокое беспокойство. Если бы не профессиональная подготовка, я мог бы стать жертвой мошенничества. Если бы это был просто звонок от незнакомца, я бы немедленно повесил трубку. Именно тщательно спланированные действия злоумышленника создают ощущение срочности и авторитета, что делает эту фишинговую атаку такой опасной.

Я подвел итоги следующих опасных сигналов и рекомендаций по защите, надеюсь, это поможет инвесторам обеспечить безопасность своих средств в текущей сетевой среде.

Опасный сигнал

Синхронизация ложных тревог создает хаос и чувство срочности

Атакующий сначала через серию обменов SIM-картами отправляет предупреждения и запросы одноразовых кодов подтверждения с нескольких сервисов ( одновременно через SMS и приложения для мгновенного обмена сообщениями ), намеренно создавая видимость одновременной атаки на несколько платформ. Эта информация, вероятно, может быть вызвана только получением моего номера телефона и электронной почты, и эти данные легко получить. На этом этапе я считаю, что атакующий еще не овладел более глубокой учетной информацией.

Смешивание коротких кодов и обычных телефонных номеров

Информация о фишинге отправляется с использованием комбинации SMS-коротких кодов и обычных телефонных номеров. Хотя компании обычно используют короткие коды для официальной связи, злоумышленники могут подделывать или повторно использовать эти короткие коды. Но следует помнить, что законные службы никогда не будут отправлять уведомления о безопасности с обычных телефонных номеров. Сообщения от номеров стандартной длины всегда должны вызывать подозрение.

Требуется выполнять операции через неофициальные или незнакомые домены

Атакующий требует от меня доступа