Навіть експерти з кібербезпеки ледь не стали жертвами складної фішингової атаки

Нещодавно в Інтернеті поширився величезний набір даних, що містить 16 мільярдів записів користувачів, в якому є як дані з попередніх витоків, так і нещодавно викрадені дані для входу. Хоча більшість даних - це повторна обробка старих даних, оновлені дані все ще викликають занепокоєння. Це вважається одним з найбільших у світі наборів даних однієї витоку облікового запису.

Хакери використовують ці дані для проведення різноманітних атак, і я став однією з їхніх цілей.

Атака фішингу, спрямована проти моїх особистих пристроїв і облікових записів 19 червня, була найскладнішою, з якою я зіткнувся за десять років своєї кар'єри в сфері кібербезпеки. Зловмисники спочатку створили ілюзію того, що мій обліковий запис піддається атакам на кількох платформах, а потім видавали себе за співробітників певної торгової платформи, пропонуючи "допомогу". Вони поєднали соціально-інженерні методи з тактикою, що включає SMS, телефонні дзвінки та підроблені електронні листи, всі їхні дії були спрямовані на створення ілюзії терміновості, достовірності та масштабного ефекту. Ця фальшива атака охопила широкий спектр і мала велику авторитетність, що є ключовим фактором, чому атака була такою оманливою.

Нижче я детально відтворю процес атаки, проаналізую небезпечні сигнали та заходи захисту, які я вживав. Також поділюсь ключовими уроками та практичними порадами, щоб допомогти інвесторам забезпечити безпеку в умовах постійно зростаючих загроз.

Історичні дані та нещодавно витечені дані можуть бути використані хакерами для здійснення високоефективних багатоканальних атак. Це ще раз підкреслює важливість багаторівневого захисту, чітких механізмів комунікації з користувачами та стратегій оперативного реагування. Як інституції, так і приватні користувачі можуть отримати корисні інструменти з цього випадку, включаючи протоколи перевірки, звичку розпізнавання доменів та кроки реагування, які можуть допомогти запобігти перетворенню випадкової недбалості на серйозну вразливість безпеки.

Викрадення SIM-карт

Атака почалася близько 15:15 одного післяобіду, анонімне повідомлення стверджувало, що хтось намагається спокусити мобільного оператора, щоб той розкрив мій номер телефону комусь іншому, цей метод атаки називається SIM-обмін.

Слід звернути увагу, що ця інформація не надходить з короткого коду, а є звичайним 10-значним номером телефону. Офіційні компанії, які надсилають текстові повідомлення, завжди використовують короткі коди. Якщо ви отримали повідомлення з невідомого стандартного номера, яке стверджує, що є від компанії, це, ймовірно, є шахрайством або спробою фішингу.

Ця інформація також містить суперечливі відомості. Перше повідомлення стверджує, що витік стався в районі затоки Сан-Франциско, тоді як наступні повідомлення вказують на Амстердам.

Успішний SIM-обмін є надзвичайно небезпечним, оскільки зловмисник може отримати одноразові коди підтвердження, які більшість компаній використовують для скидання паролів або доступу до облікових записів. Однак цього разу це не справжній SIM-обмін, хакери готують підґрунтя для подальшої більш витонченої афери.

Одноразовий код підтвердження та скидання пароля

Атака потім посилилася, я поступово отримував одноразові коди підтвердження, які нібито надходили від певної платіжної платформи, через SMS та миттєві повідомлення. Це змусило мене повірити, що хтось намагається увійти в мої облікові записи на різних фінансових платформах. На відміну від підозрілих SMS від операторів, ці коди підтвердження дійсно надійшли з, здавалося б, легітимних коротких кодів.

Фішингові дзвінки

Через близько п'ять хвилин після отримання SMS, я отримав дзвінок з каліфорнійського номера. Дзвонить, який назвався "Мейсон", говорив чистою американською англійською, стверджуючи, що він з команди розслідування певної торгової платформи. Він сказав, що за останні 30 хвилин через чат на платформі було понад 30 спроб скидання пароля та вторгнення в акаунт. За словами "Мейсона", так званий нападник пройшов перший рівень безпеки для скидання пароля, але зазнав невдачі на другому етапі аутентифікації.

Він сказав мені, що інша сторона може надати останні чотири цифри мого посвідчення особи, повний номер водійських прав, домашню адресу та повне ім'я, але не змогла надати повний номер посвідчення особи або останні чотири цифри банківської картки, пов'язаної з рахунком. Мейсон пояснив, що саме цей конфлікт спровокував тривогу команди безпеки платформи, що змусило їх зв'язатися зі мною для перевірки справжності.

Компанії, такі як регульовані біржі, ніколи не телефонують користувачам, якщо ви самі не ініціювали запит на обслуговування через офіційний веб-сайт.

Перевірка безпеки

Після повідомлення про цю "погану новину" Мейсон запропонував захистити мій рахунок, заблокувавши додаткові канали атаки. Він почав з API-з'єднань та асоційованих гаманців, стверджуючи, що відкличе їхні права доступу для зниження ризику. Він перерахував кілька об'єктів з'єднання, включаючи деякі торгові платформи, аналітичні інструменти, гаманці тощо, деякі з яких я не впізнаю, але припускаю, що, можливо, це ті, які я раніше налаштовував, але забув.

У цей момент моя обережність знизилася, навіть через те, що платформа "активно захищає", я відчуваю себе спокійно.

На даний момент Mason не запитував жодної особистої інформації, адреси гаманця, двохфакторного коду або одноразового пароля, які зазвичай є типовими запитами шахраїв. Увесь процес взаємодії має високу безпеку і є профілактичним.

Приховані засоби тиску

Далі відбулася перша спроба тиску, шляхом створення відчуття терміновості та вразливості. Після завершення так званої "перевірки безпеки" Мейсон стверджував, що моє обліковий запис було позначено як високий ризик, і захист рахунку високого рівня на платформі було скасовано. Це означає, що активи в моєму гаманці на платформі більше не покриваються страховкою, і якщо зловмисник успішно вкраде кошти, я не отримаю жодної компенсації.

Тепер, коли я згадую, ця схема повинна була стати очевидною вразливістю. На відміну від банківських депозитів, криптоактиви ніколи не підлягають страхуванню, хоча біржі можуть зберігати долари клієнтів у страхованих банках, сама біржа не є застрахованою установою.

Мейсон також попередив, що 24-годинний зворотний відлік вже почався, прострочені рахунки будуть заблоковані. Розблокування вимагатиме складного та тривалого процесу. Ще більш страшно, що він стверджує, що якщо зловмисник отримає мій повний номер соціального страхування під час цього, він навіть зможе вкрасти кошти, коли рахунок заблоковано.

Пізніше я звернувся до справжньої команди обслуговування клієнтів платформи і дізнався, що блокування акаунту - це саме та безпечна міра, яку вони рекомендують. Процес розблокування насправді простий і безпечний: потрібно надати фотографії паспорта та селфі, і після перевірки особи платформа швидко відновить доступ.

Потім я отримав два листи. Перший - це підтвердження підписки на новини платформи, це просто звичайний лист, який був надісланий через формуляр на офіційному сайті з моєю електронною адресою, поданою зловмисником. Це явно спроба заплутати моє судження, використовуючи офіційний лист, щоб підвищити довіру до шахрайства.

Другий, більш тривожний лист надійшов з адреси, що виглядає як офіційний домен платформи, в якому стверджується, що моя розширена захист облікового запису було скасовано. Цей лист, який виглядає як з нормального домену, є дуже оманливим – якби він надійшов з підозрілого домену, його було б легко розпізнати, але через те, що він відображається як офіційна адреса, він виглядає правдоподібно.

Рекомендовані заходи щодо усунення

Мейсон потім запропонував перевести мої активи до мультипідписного гаманця під назвою "Vault" для забезпечення безпеки. Він навіть попросив мене знайти офіційну документацію, щоб довести, що це формальна послуга платформи протягом багатьох років.

Я висловлюю, що не хочу вносити такі значні зміни без належного розслідування. Він висловив розуміння і заохотив мене ретельно вивчити питання, а також підтримав моє бажання спочатку зв'язатися з оператором, щоб запобігти SIM-обміну. Він сказав, що перезвонить через 30 хвилин, щоб продовжити наступні кроки. Після розмови я відразу отримав SMS, що підтверджує цей дзвінок та запис.

Дзвінок і "Сховище"

Після того, як я підтвердив, що у оператора не було спроби перенесення SIM-карти, я відразу змінив усі паролі до акаунтів. Мейсон зателефонував, як і обіцяв, і ми почали обговорювати наступні кроки.

На даний момент я підтвердив, що "Vault" дійсно є реальною послугою, яку надає ця платформа. Це схема депозитарного зберігання, яка підвищує безпеку за рахунок мультипідпису та 24-годинної затримки виведення, але це не є справжнім самостійним холодним гаманцем.

Мейсон потім надіслав посилання на, здавалося б, відповідний домен, стверджуючи, що можна перевірити налаштування безпеки, обговорені під час першої розмови. Після завершення перевірки активи можуть бути переведені до Vault, і в цей момент мої знання в галузі кібербезпеки нарешті знайшли застосування.

Після введення наданого ним номера справи, відкрита сторінка показує так звані "API-з'єднання видалено" та кнопку "Створити Vault". Я негайно перевірив SSL-сертифікат сайту і виявив, що цей домен, зареєстрований лише місяць тому, не має жодного відношення до платформи. Хоча SSL-сертифікати зазвичай можуть створювати ілюзію легітимності, сертифікати для законних компаній завжди мають чітке відношення, і це відкриття змусило мене негайно зупинити операцію.

Офіційні платформи чітко заявляють, що ніколи не використовуватимуть неофіційні доменні імена. Навіть якщо використовуються сторонні сервіси, це має бути у формі піддомену. Будь-які операції, пов'язані з рахунком, повинні виконуватися через офіційний додаток або веб-сайт.

Я висловив свої сумніви Мейсону, підкресливши, що хочу діяти лише через офіційний додаток. Він стверджував, що операції через додаток призведуть до затримки на 48 годин, тоді як рахунок буде заблоковано через 24 години. Я знову відмовився від поспішних рішень, і він заявив, що випадок буде підвищено до "третього рівня підтримки", щоб спробувати відновити захист мого облікового запису.

Після завершення дзвінка я продовжував перевіряти безпеку інших облікових записів, відчуття тривоги ставало все сильнішим.

"Третій рівень підтримки" дзвінок

Приблизно через півгодини надійшов дзвінок з номеру Техасу. Інший співрозмовник з американським акцентом представився трирівневим слідчим, який займається моєю заявкою на відновлення облікового запису. Він стверджував, що потрібно 7 днів на перевірку, протягом яких обліковий запис не буде застрахований. Він також "піклувався" і порадив відкрити кілька Vault для різних активів на блокчейні, виглядаючи професійно, але насправді ніколи не згадуючи конкретні активи, лише розпливчасто вказуючи на "Ефір, Біткойн тощо".

Він згадав, що звернеться до юридичного відділу з проханням надіслати записи чату, після чого почав рекламувати Vault. Як альтернативу, він рекомендував третій гаманец під назвою SafePal, хоча SafePal дійсно є легітимним апаратним гаманцем, але це явно є підготовкою для обману довіри.

Коли я знову поставив під сумнів підозріле доменне ім'я, співрозмовник все ще намагався усунути мої сумніви. На цьому етапі зловмисник, можливо, усвідомив, що успіху не досягти, і в підсумку відмовився від цієї фішингової атаки.

Зв'язатися з справжньою службою підтримки платформи

Після завершення розмови з другим фальшивим представником служби підтримки, я негайно подав заявку через офіційні канали. Справжній представник служби підтримки швидко підтвердив, що з моїм рахунком немає жодних аномальних входів чи запитів на скидання пароля.

Він запропонував терміново заблокувати рахунок і зібрати деталі атаки для подання слідчій групі. Я надав всі шахрайські доменні імена, номери телефонів та шляхи атаки, особливо запитав про питання прав на відправлення, які виглядали як офіційні адреси електронної пошти. Служба підтримки визнала, що це дуже серйозно, і пообіцяла, що команда безпеки проведе всебічне розслідування.

При зв'язку з клієнтською службою біржі або кастодіального сервісу обов'язково використовуйте офіційні канали. Офіційні компанії ніколи не будуть ініціювати контакт з користувачами.

Узагальнення досвіду

Хоча мені пощастило не стати жертвою, але як колишній фахівець з кібербезпеки, цей досвід, коли я ледь не попався, викликав у мене глибоке занепокоєння. Якби не професійна підготовка, я міг би потрапити в пастку. Якби це був просто звичайний дзвінок від незнайомця, я б одразу повісив трубку. Саме ретельно сплановані дії зловмисників, які створюють відчуття терміновості та авторитетності, зробили цю фішингову атаку такою небезпечною.

Я підсумував такі небезпечні сигнали та рекомендації щодо захисту, сподіваюся, вони допоможуть інвесторам забезпечити безпеку коштів у поточному мережевому середовищі.

небезпечний сигнал

Спільне створення хибних тривог викликає плутанину та терміновість

Атакуючи спочатку через серію обміну SIM-картами, надсилають тривоги та запити на одноразові коди підтвердження з кількох сервісів ( одночасно через SMS та миттєві повідомлення, навмисно створюючи ілюзію одночасної атаки на кількох платформах. Ця інформація, ймовірно, може бути активована лише за отриманням мого номера телефону та електронної пошти, які легко можна отримати. На цьому етапі я вважаю, що атакуючий ще не володіє глибшими даними облікового запису.

Короткі коди та звичайні телефонні номери змішуються

Інформація про фішинг надсилається за допомогою комбінації SMS-коротких кодів та звичайних телефонних номерів. Хоча підприємства зазвичай використовують короткі коди для офіційних комунікацій, зловмисники можуть підробляти або повторно використовувати ці короткі коди. Але варто зазначити, що легітимні служби ніколи не використовуватимуть звичайні телефонні номери для надсилання безпечних сповіщень. Інформація, що надходить з номерів стандартної довжини, завжди повинна викликати підозру.

Вимоги до роботи через неофіційні або незнайомі домени

Зловмисник вимагав від мене доступу