ผู้เขียนต้นฉบับ: คริสโตเฟอร์ โรซา
คำแปลต้นฉบับ: AididiaoJP, Foresight News
แม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายนี้เกือบโดนจับได้
ในช่วงสุดสัปดาห์ที่ผ่านมา มีข่าวแพร่สะพัดว่าข้อมูลผู้ใช้จำนวนมหาศาลกว่า 16,000 ล้านรายการ ซึ่งรวมถึงข้อมูลการเข้าสู่ระบบที่ถูกขโมยไปในอดีตและข้อมูลการเข้าสู่ระบบที่ขโมยมาใหม่ เริ่มแพร่กระจายทางออนไลน์ ยังไม่ชัดเจนว่าใครเป็นผู้อัปเดตข้อมูลดังกล่าวและเผยแพร่ซ้ำ แม้ว่าฐานข้อมูลส่วนใหญ่จะเป็นการนำข้อมูลที่ถูกละเมิดในอดีตมาทำใหม่ แต่การที่มีการอัปเดตอีกครั้งก็ถือเป็นเรื่องน่ากังวล ข้อมูลชุดดังกล่าวถือเป็นการ รวบรวมบัญชีที่ถูกบุกรุกที่ใหญ่ที่สุดชุดหนึ่ง เลยทีเดียว
แฮกเกอร์กำลังใช้ข้อมูลนี้เพื่อดำเนินการโจมตีต่างๆ และฉันก็กลายเป็นเป้าหมายของพวกเขาไปแล้ว
การโจมตีแบบฟิชชิ่งบนอุปกรณ์ส่วนตัวและบัญชีของฉันเมื่อวันที่ 19 มิถุนายน ถือเป็นการโจมตีที่ร้ายแรงที่สุดที่ฉันเคยพบเจอตลอดอาชีพด้านการรักษาความปลอดภัยทางไซเบอร์ที่ยาวนานกว่าทศวรรษของฉัน ผู้โจมตีสร้างภาพลวงตาก่อนว่าบัญชีของฉันถูกโจมตีบนแพลตฟอร์มต่างๆ จากนั้นจึงแอบอ้างว่าเป็นพนักงานของ Coinbase และเสนอตัว ช่วยเหลือ พวกเขาผสมผสานกลวิธีทางวิศวกรรมสังคมแบบคลาสสิกเข้ากับกลวิธีประสานงานผ่านการส่งข้อความ โทรศัพท์ และอีเมลปลอม ซึ่งทั้งหมดนี้ได้รับการออกแบบมาเพื่อสร้างความรู้สึกเร่งด่วน ความน่าเชื่อถือ และขนาดที่ผิดๆ การเข้าถึงและอำนาจของการโจมตีปลอมนี้เป็นกุญแจสำคัญที่ทำให้เกิดลักษณะหลอกลวง
ด้านล่างนี้ ฉันจะอธิบายรายละเอียดเกี่ยวกับกระบวนการโจมตี วิเคราะห์สัญญาณเตือนที่ฉันสังเกตเห็นระหว่างกระบวนการ และมาตรการป้องกันที่ฉันใช้ พร้อมกันนี้ ฉันจะแบ่งปันบทเรียนสำคัญและข้อเสนอแนะเชิงปฏิบัติเพื่อช่วยให้นักลงทุนด้านคริปโตปลอดภัยในสภาพแวดล้อมที่มีภัยคุกคามที่เพิ่มสูงขึ้นอย่างต่อเนื่อง
แฮกเกอร์สามารถใช้ข้อมูลในอดีตและข้อมูลที่เพิ่งรั่วไหลเพื่อโจมตีแบบหลายช่องทางได้ ซึ่งถือเป็นการยืนยันอีกครั้งถึงความสำคัญของการป้องกันความปลอดภัยแบบหลายชั้น กลไกการสื่อสารที่ชัดเจนของผู้ใช้ และกลยุทธ์การตอบสนองแบบเรียลไทม์ ทั้งสถาบันและผู้ใช้แต่ละรายสามารถได้รับเครื่องมือที่ใช้งานได้จริงจากกรณีนี้ ซึ่งรวมถึงโปรโตคอลการตรวจสอบ นิสัยในการระบุชื่อโดเมน และขั้นตอนการตอบสนอง ซึ่งสามารถช่วยป้องกันไม่ให้ความประมาทเลินเล่อชั่วครั้งชั่วคราวกลายเป็นช่องโหว่ด้านความปลอดภัยที่สำคัญ
การแฮ็กซิม
การโจมตีเริ่มขึ้นเมื่อเวลาประมาณ 15.15 น. ET ของวันพฤหัสบดีด้วยข้อความที่ไม่เปิดเผยชื่อซึ่งระบุว่ามีผู้พยายามหลอกผู้ให้บริการโทรศัพท์มือถือเพื่อให้หมายเลขโทรศัพท์ของฉันกับบุคคลอื่น ซึ่งเป็นกลยุทธ์ที่เรียกว่าการสลับซิม
โปรดทราบว่าข้อความนี้ไม่ได้มาจากหมายเลข SMS แต่เป็นหมายเลขโทรศัพท์ 10 หลักทั่วไป ธุรกิจที่ถูกกฎหมายใช้รหัสสั้นในการส่งข้อความ SMS หากคุณได้รับข้อความจากหมายเลขความยาวมาตรฐานที่ไม่รู้จักซึ่งอ้างว่ามาจากธุรกิจ นั่นอาจเป็นการหลอกลวงหรือฟิชชิ่ง
ข้อความยังมีข้อขัดแย้งอีกด้วย โดยข้อความแรกระบุว่าการละเมิดเกิดขึ้นในเขตอ่าวซานฟรานซิสโก ในขณะที่ข้อความต่อมาระบุว่าเกิดขึ้นในอัมสเตอร์ดัม
การสลับซิมถือเป็นอันตรายอย่างยิ่งหากประสบความสำเร็จ เนื่องจากผู้โจมตีสามารถรับรหัสยืนยันครั้งเดียวที่บริษัทส่วนใหญ่ใช้ในการรีเซ็ตรหัสผ่านหรือเข้าถึงบัญชี อย่างไรก็ตาม นี่ไม่ใช่การสลับซิมจริง และแฮกเกอร์กำลังวางรากฐานสำหรับการหลอกลวงที่ซับซ้อนยิ่งขึ้น
รหัสยืนยันครั้งเดียวและการรีเซ็ตรหัสผ่าน
จากนั้นการโจมตีก็ทวีความรุนแรงขึ้น และฉันเริ่มได้รับรหัสยืนยันครั้งเดียวที่อ้างว่ามาจาก Venmo และ PayPal ซึ่งส่งมาทาง SMS และ WhatsApp ทำให้ฉันเชื่อว่ามีคนพยายามเข้าสู่ระบบบัญชีของฉันบนแพลตฟอร์มทางการเงินต่างๆ ซึ่งแตกต่างจากข้อความ SMS ของผู้ให้บริการที่น่าสงสัย รหัสยืนยันเหล่านี้มาจากรหัสสั้นที่ดูถูกต้องตามกฎหมาย
การโทรหลอกลวงของ Coinbase
ประมาณห้านาทีหลังจากได้รับข้อความ ฉันได้รับสายจากหมายเลขในแคลิฟอร์เนีย ผู้โทรที่เรียกตัวเองว่า เมสัน พูดด้วยสำเนียงอเมริกันแท้ๆ และอ้างว่ามาจากทีมสอบสวนของ Coinbase เขาบอกว่าในช่วง 30 นาทีที่ผ่านมา มีความพยายามรีเซ็ตรหัสผ่านและแฮ็คบัญชีผ่านหน้าต่างแชทของ Coinbase มากกว่า 30 ครั้ง ตามที่ เมสัน กล่าว ผู้โจมตีที่เรียกว่านี้ได้ผ่านการตรวจสอบความปลอดภัยระดับแรกสำหรับการรีเซ็ตรหัสผ่านแล้ว แต่ล้มเหลวในการพิสูจน์ตัวตนระดับที่สอง
เขาแจ้งฉันว่าอีกฝ่ายสามารถแจ้งเลข 4 หลักสุดท้ายของบัตรประจำตัวประชาชน หมายเลขใบขับขี่ ที่อยู่บ้าน และชื่อนามสกุลของฉันได้ แต่ไม่สามารถแจ้งเลขบัตรประจำตัวประชาชนหรือเลข 4 หลักสุดท้ายของบัตรธนาคารที่เชื่อมโยงกับบัญชี Coinbase ได้ เมสันอธิบายว่าความขัดแย้งนี้เองที่ทำให้ทีมรักษาความปลอดภัยของ Coinbase ตื่นตระหนก ทำให้พวกเขาติดต่อฉันเพื่อยืนยันความถูกต้อง
การแลกเปลี่ยนอย่างเป็นทางการเช่น Coinbase จะไม่โทรหาผู้ใช้โดยตรง เว้นแต่คุณจะเริ่มต้นคำขอรับบริการผ่านทางเว็บไซต์อย่างเป็นทางการ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับกฎระเบียบบริการลูกค้าของการแลกเปลี่ยน โปรดอ่านเอกสาร Coinbase นี้
การตรวจสอบความปลอดภัย
หลังจากแจ้งข่าวร้ายให้ฉันทราบแล้ว เมสันเสนอที่จะปกป้องบัญชีของฉันโดยการบล็อกช่องทางการโจมตีเพิ่มเติม เขาเริ่มต้นด้วยการเชื่อมต่อ API และกระเป๋าเงินที่เกี่ยวข้อง โดยอ้างว่าจะถูกเพิกถอนเพื่อลดความเสี่ยง เขาได้ระบุรายการการเชื่อมต่อหลายรายการ รวมถึงกระเป๋าเงิน Bitstamp, TradingView, MetaMask เป็นต้น ซึ่งบางส่วนฉันไม่รู้จัก แต่ฉันคิดว่าฉันอาจตั้งค่าไว้แล้วและลืมไป
เมื่อถึงจุดนี้ ความระมัดระวังของฉันลดลง และฉันยังรู้สึกอุ่นใจกับ การป้องกันเชิงรุก ของ Coinbase อีกด้วย
จนถึงขณะนี้ เมสันยังไม่ได้ขอข้อมูลส่วนตัว ที่อยู่กระเป๋าเงิน รหัสยืนยันสองขั้นตอน หรือรหัสผ่านครั้งเดียว ซึ่งมักเป็นคำขอทั่วไปจากผู้หลอกลวง กระบวนการโต้ตอบทั้งหมดมีความปลอดภัยและป้องกันได้สูง
กลวิธีกดดันที่ซ่อนอยู่
จากนั้นก็มาถึงความพยายามกดดันครั้งแรก โดยสร้างความรู้สึกเร่งด่วนและความเสี่ยง หลังจากเสร็จสิ้นการตรวจสอบที่เรียกว่า ความปลอดภัย แล้ว เมสันอ้างว่าการคุ้มครองบัญชีของฉันสำหรับบริการสมัครสมาชิก Coinbase One ถูกยกเลิกเนื่องจากบัญชีของฉันถูกระบุว่ามีความเสี่ยงสูง ซึ่งหมายความว่าสินทรัพย์ในกระเป๋าเงิน Coinbase ของฉันไม่ได้รับความคุ้มครองจากประกัน FDIC อีกต่อไป และฉันจะไม่สามารถรับค่าชดเชยใดๆ ได้หากผู้โจมตีขโมยเงินได้สำเร็จ
เมื่อมองย้อนกลับไป ข้อโต้แย้งนี้ควรเป็นข้อบกพร่องที่ชัดเจน ซึ่งแตกต่างจากเงินฝากธนาคาร สินทรัพย์ดิจิทัลไม่เคยได้รับการคุ้มครองจากประกัน FDIC และแม้ว่า Coinbase อาจเก็บเงินของลูกค้าไว้ที่ธนาคารที่ได้รับการประกัน FDIC แต่ตัวการแลกเปลี่ยนนั้นไม่ใช่สถาบันที่ได้รับการประกัน
เมสันยังเตือนด้วยว่าการนับถอยหลัง 24 ชั่วโมงได้เริ่มต้นขึ้นแล้ว และบัญชีที่ค้างชำระจะถูกล็อก การปลดล็อกจะต้องใช้ขั้นตอนที่ซับซ้อนและยาวนาน ที่น่ากลัวกว่านั้นก็คือ เขาอ้างว่าหากผู้โจมตีได้หมายเลขประกันสังคมของฉันไปทั้งหมดในช่วงเวลาดังกล่าว พวกเขาอาจขโมยเงินจากบัญชีที่ถูกล็อกได้ด้วย
หลังจากนั้น ฉันได้ปรึกษากับทีมบริการลูกค้าของ Coinbase และได้ทราบว่าการล็อกบัญชีเป็นมาตรการรักษาความปลอดภัยที่พวกเขาแนะนำ ขั้นตอนการปลดล็อกนั้นง่ายและปลอดภัยมาก เพียงแค่ส่งรูปถ่ายบัตรประจำตัวและเซลฟี่ของคุณ จากนั้นระบบจะตรวจสอบตัวตนของคุณและคืนสิทธิ์การเข้าถึงให้คุณอย่างรวดเร็ว
จากนั้นฉันได้รับอีเมลสองฉบับ ฉบับแรกเป็นจดหมายยืนยันการสมัครรับข่าวสารจาก Coinbase Bytes ซึ่งเป็นเพียงอีเมลธรรมดาที่ถูกส่งมาเมื่อผู้โจมตีส่งที่อยู่อีเมลของฉันผ่านแบบฟอร์มบนเว็บไซต์อย่างเป็นทางการ ซึ่งเห็นได้ชัดว่าเป็นความพยายามที่จะทำให้การตัดสินใจของฉันสับสนกับอีเมลอย่างเป็นทางการของ Coinbase เพื่อเพิ่มความน่าเชื่อถือให้กับกลลวงนี้
อีเมลที่น่ากังวลฉบับที่สองมาจาก no-reply@info.coinbase.com ซึ่งระบุว่าบัญชี Coinbase One ของฉันถูกยกเลิกการป้องกันแล้ว อีเมลฉบับนี้ซึ่งดูเหมือนว่าจะมาจากโดเมน Coinbase ที่ถูกต้องนั้นหลอกลวงได้มาก—หากอีเมลดังกล่าวมาจากโดเมนที่น่าสงสัยก็อาจตรวจพบได้ง่าย แต่อีเมลฉบับนี้กลับดูน่าเชื่อถือเพราะดูเหมือนว่าจะมาจากที่อยู่อีเมลอย่างเป็นทางการ
ข้อเสนอแนะในการแก้ไข
จากนั้นเมสันแนะนำให้โอนทรัพย์สินของฉันไปยังกระเป๋าเงินหลายลายเซ็นที่ชื่อว่า Coinbase Vault เพื่อความปลอดภัย เขายังขอให้ฉันค้นหาคำว่า “Coinbase Vault” ใน Google เพื่อตรวจสอบเอกสารอย่างเป็นทางการเพื่อพิสูจน์ว่านี่เป็นบริการถูกกฎหมายที่ Coinbase ให้บริการมาหลายปีแล้ว
ฉันบอกว่าฉันไม่อยากเปลี่ยนแปลงอะไรใหญ่ๆ แบบนี้โดยไม่ตรวจสอบให้ครบถ้วนเสียก่อน เขาเข้าใจและสนับสนุนให้ฉันค้นคว้าข้อมูลอย่างรอบคอบ และสนับสนุนให้ฉันติดต่อผู้ให้บริการก่อนเพื่อป้องกันการสลับซิม เขาบอกว่าจะโทรกลับมาหาฉันอีกครั้งภายใน 30 นาทีเพื่อดำเนินการตามขั้นตอนต่อไป หลังจากวางสาย ฉันได้รับข้อความยืนยันการโทรและการนัดหมายทันที
การโทรกลับด้วย Coinbase Vault
หลังจากยืนยันว่าไม่มีการพยายามโอนซิมจากผู้ให้บริการ ฉันจึงเปลี่ยนรหัสผ่านบัญชีทั้งหมดทันที เมสันโทรกลับมาตามกำหนด และเราเริ่มหารือถึงขั้นตอนต่อไป
ณ จุดนี้ ฉันได้ยืนยันแล้วว่า Coinbase Vault เป็นบริการจริงที่จัดทำโดย Coinbase เป็นโซลูชันการดูแลที่มีความปลอดภัยเพิ่มขึ้นผ่านการอนุญาตลายเซ็นหลายรายการและการถอนเงินที่ล่าช้า 24 ชั่วโมง แต่ไม่ใช่กระเป๋าเงินแบบเย็นที่ดูแลตนเองอย่างแท้จริง
จากนั้นเมสันก็ส่งลิงก์ไปยัง vault-coinbase.com ให้ฉัน โดยอ้างว่าเขาสามารถตรวจสอบการตั้งค่าความปลอดภัยที่หารือกันในการโทรครั้งแรกได้ เมื่อการตรวจสอบเสร็จสิ้นแล้ว ทรัพย์สินต่างๆ ก็สามารถโอนไปยัง Vault ได้ และในตอนนี้ ความเป็นมืออาชีพของฉันในการรักษาความปลอดภัยเครือข่ายก็ปรากฏออกมาในที่สุด
หลังจากป้อนหมายเลขเคสที่เขาให้ไว้แล้ว หน้าที่เปิดขึ้นมาจะแสดงสิ่งที่เรียกว่า API connection removed และปุ่ม Create Coinbase Vault ฉันตรวจสอบใบรับรอง SSL ของเว็บไซต์ทันทีและพบว่าชื่อโดเมนนี้ซึ่งเพิ่งจดทะเบียนได้เพียงหนึ่งเดือนนั้นไม่มีส่วนเกี่ยวข้องกับ Coinbase แม้ว่าใบรับรอง SSL มักจะสร้างความรู้สึกผิดๆ ว่าเป็นของจริง แต่ใบรับรองขององค์กรอย่างเป็นทางการมีกรรมสิทธิ์ที่ชัดเจน และการค้นพบนี้ทำให้ฉันหยุดดำเนินการทันที
Coinbaseชี้แจงอย่างชัดเจนว่า จะไม่นำชื่อโดเมนที่ไม่เป็นทางการมาใช้เด็ดขาด แม้ว่าจะใช้บริการของบุคคลที่สามก็ตาม ชื่อโดเมนนั้นควรเป็นชื่อโดเมนย่อย เช่น vault.coinbase.com การดำเนินการใดๆ ที่เกี่ยวข้องกับบัญชีแลกเปลี่ยนควรดำเนินการผ่านแอปหรือเว็บไซต์อย่างเป็นทางการ
ฉันได้แสดงความกังวลต่อเมสันและเน้นย้ำว่าฉันจะดำเนินการผ่านแอปอย่างเป็นทางการเท่านั้น เขาโต้แย้งว่าการดำเนินการผ่านแอปจะทำให้เกิดความล่าช้า 48 ชั่วโมง และบัญชีจะถูกล็อคหลังจากผ่านไป 24 ชั่วโมง ฉันปฏิเสธที่จะตัดสินใจอย่างรีบร้อนอีกครั้ง ดังนั้นเขาจึงบอกว่าจะส่งเรื่องไปยัง ทีมสนับสนุนระดับ 3 เพื่อพยายามคืนการป้องกัน Coinbase One ของฉัน
หลังจากวางสายแล้ว ฉันยังคงตรวจสอบความปลอดภัยของบัญชีอื่นๆ ต่อไป และความรู้สึกไม่สบายใจของฉันก็ยิ่งเพิ่มมากขึ้น
สายเรียกเข้าจากทีมสนับสนุนระดับ 3
ประมาณครึ่งชั่วโมงต่อมา เบอร์จากเท็กซัสโทรมา บุคคลอีกคนที่มีสำเนียงอเมริกันอ้างว่าเป็นผู้ตรวจสอบระดับ 3 และกำลังดำเนินการกู้คืน Coinbase One ของฉัน เขาอ้างว่าจำเป็นต้องมีช่วงเวลาตรวจสอบ 7 วัน ซึ่งระหว่างนั้นบัญชีจะยังคงไม่ได้รับการประกัน นอกจากนี้ เขายัง กรุณา แนะนำให้เปิด Vault หลาย ๆ แห่งสำหรับสินทรัพย์บนเครือข่ายที่แตกต่างกัน เขาดูเป็นมืออาชีพ แต่ในความเป็นจริง เขาไม่เคยพูดถึงสินทรัพย์เฉพาะเจาะจงเลย โดยอ้างถึงเพียง Ethereum, Bitcoin ฯลฯ เพียงเล็กน้อยเท่านั้น
เขาบอกว่าเขาจะส่งบันทึกการสนทนาไปยังแผนกกฎหมาย และจากนั้นก็เริ่มโปรโมต Coinbase Vault เป็นทางเลือกอื่น เขาแนะนำกระเป๋าสตางค์ของบุคคลที่สามที่ชื่อว่า SafePal แม้ว่า SafePal จะเป็นกระเป๋าสตางค์ฮาร์ดแวร์ทั่วไป แต่ก็เห็นได้ชัดว่าเป็นการเปิดช่องให้หลอกลวงความไว้วางใจ
เมื่อฉันตั้งคำถามเกี่ยวกับโดเมน vault-coinbase.com อีกครั้ง อีกฝ่ายก็ยังพยายามจะคลายข้อสงสัยของฉันอยู่ดี ในจุดนี้ ผู้โจมตีอาจตระหนักได้ว่ามันยากที่จะประสบความสำเร็จ และในที่สุดก็ยอมแพ้ต่อการโจมตีแบบฟิชชิ่งนี้
ติดต่อฝ่ายบริการลูกค้าจริงของ Coinbase
หลังจากที่ฉันโทรคุยกับตัวแทนฝ่ายบริการลูกค้าปลอมเป็นครั้งที่สองแล้ว ฉันก็ส่งใบสมัครผ่าน Coinbase.com ทันที ตัวแทนฝ่ายบริการลูกค้าตัวจริงยืนยันอย่างรวดเร็วว่าไม่มีการเข้าสู่ระบบหรือคำขอรีเซ็ตรหัสผ่านที่ผิดปกติในบัญชีของฉัน
เขาแนะนำให้ล็อกบัญชีทันทีและรวบรวมรายละเอียดของการโจมตีและส่งให้ทีมสอบสวน ฉันให้ชื่อโดเมน หมายเลขโทรศัพท์ และเวกเตอร์การโจมตีที่ฉ้อโกงทั้งหมด และถามโดยเฉพาะเกี่ยวกับสิทธิ์ในการส่งของ no-reply@info.coinbase.com ฝ่ายบริการลูกค้ายอมรับว่าเรื่องนี้ร้ายแรงมากและสัญญาว่าทีมรักษาความปลอดภัยจะดำเนินการสอบสวนอย่างละเอียดถี่ถ้วน
เมื่อติดต่อฝ่ายบริการลูกค้าของศูนย์แลกเปลี่ยนหรือผู้ดูแล โปรดแน่ใจว่าใช้ช่องทางอย่างเป็นทางการ บริษัทที่ถูกกฎหมายจะไม่ติดต่อผู้ใช้โดยตรง
บทเรียนที่ได้รับ
แม้ว่าฉันจะโชคดีพอที่จะไม่ถูกหลอก แต่ในฐานะอดีตผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ ประสบการณ์ที่เกือบจะล้มเหลวนี้ทำให้ฉันรู้สึกไม่สบายใจอย่างมาก ถ้าฉันไม่ได้รับการฝึกอบรมอย่างมืออาชีพ ฉันอาจถูกหลอกได้ หากเป็นเพียงการโทรธรรมดาที่ไม่คุ้นเคย ฉันคงวางสายทันที การกระทำต่อเนื่องของผู้โจมตีที่ออกแบบมาอย่างพิถีพิถันทำให้เกิดความรู้สึกเร่งด่วนและมีอำนาจ ซึ่งทำให้การฟิชชิ่งครั้งนี้เป็นอันตรายมาก
ฉันได้สรุปสัญญาณอันตรายและข้อเสนอแนะในการป้องกันดังต่อไปนี้ หวังว่าจะช่วยให้นักลงทุนในสกุลเงินดิจิทัลมั่นใจในความปลอดภัยของเงินของพวกเขาในสภาพแวดล้อมเครือข่ายปัจจุบัน
ธงแดง
การประสานงานแจ้งเตือนเท็จเพื่อสร้างความสับสนและความเร่งด่วน
ในตอนแรกผู้โจมตีสร้างภาพลวงตาของการโจมตีพร้อมกันในหลายแพลตฟอร์มผ่านการแจ้งเตือนการสลับซิมและคำขอรหัสยืนยันครั้งเดียวจากบริการเช่น Venmo และ PayPal (ส่งทั้งทาง SMS และ WhatsApp) ข้อความเหล่านี้น่าจะถูกเรียกใช้งานด้วยหมายเลขโทรศัพท์และที่อยู่อีเมลของฉันเท่านั้น ซึ่งสามารถเข้าถึงได้ง่าย ในขั้นตอนนี้ ฉันไม่คิดว่าผู้โจมตีจะสามารถเข้าถึงข้อมูลบัญชีที่ลึกกว่านี้ได้
การผสมรหัสสั้นกับหมายเลขโทรศัพท์ปกติ
ข้อความฟิชชิ่งถูกส่งโดยใช้รหัสสั้นทาง SMS และหมายเลขโทรศัพท์ปกติร่วมกัน แม้ว่าธุรกิจต่างๆ มักใช้รหัสสั้นสำหรับการสื่อสารอย่างเป็นทางการ แต่ผู้โจมตีสามารถปลอมแปลงหรือรีไซเคิลรหัสสั้นเหล่านี้ได้ แต่สิ่งสำคัญคือต้องทราบว่าบริการที่ถูกกฎหมายจะไม่ใช้หมายเลขโทรศัพท์ปกติในการส่งการแจ้งเตือนด้านความปลอดภัย ข้อความจากหมายเลขที่มีความยาวมาตรฐานควรได้รับการปฏิบัติอย่างสงสัยเสมอ
คำขอให้ดำเนินการผ่านชื่อโดเมนที่ไม่เป็นทางการหรือไม่คุ้นเคย
ผู้โจมตีขอให้ฉันไปเยี่ยมชมเว็บไซต์ฟิชชิ่งที่โฮสต์บน vault-coinbase.com ซึ่งเป็นโดเมนที่ดูเหมือนถูกกฎหมายในตอนแรก แต่จริงๆ แล้วไม่ได้มีความเกี่ยวข้องกับ Coinbase เลย ตรวจสอบชื่อโดเมนและใบรับรอง SSL ซ้ำอีกครั้งเสมอ ก่อนที่จะป้อนข้อมูลใดๆ การดำเนินการที่เกี่ยวข้องกับบัญชีที่ละเอียดอ่อนควรดำเนินการเฉพาะกับโดเมนหรือแอปพลิเคชันของบริษัทอย่างเป็นทางการเท่านั้น
การโทรและการติดตามผลที่ไม่ได้ร้องขอ
Coinbase และสถาบันการเงินอื่นๆ ส่วนใหญ่จะไม่โทรหาคุณก่อนเริ่มส่งคำขอรับการสนับสนุน การได้รับสายจากบุคคลที่อ้างว่ามาจาก ทีมสอบสวนระดับ 3 ถือเป็นสัญญาณเตือนที่สำคัญ โดยเฉพาะเมื่อใช้ร่วมกับกลวิธีขู่ขวัญและคำสั่งที่ซับซ้อนเพื่อปกป้องบัญชีของคุณ
คำเตือนฉุกเฉินและผลที่ตามมาที่ไม่ได้ร้องขอ
ผู้โจมตีแบบฟิชชิ่งมักใช้ความกลัวและความเร่งด่วนเพื่อบังคับให้เหยื่อดำเนินการโดยไม่คิด ในกรณีนี้ การคุกคามด้วยการล็อกบัญชี ขโมยทรัพย์สิน และยกเลิกความคุ้มครองประกันภัยถือเป็นกลวิธีทางวิศวกรรมสังคมทั่วไป
ขอข้ามช่องทางการ
คำแนะนำใดๆ เพื่อหลีกเลี่ยงการใช้แอปหรือเว็บไซต์อย่างเป็นทางการของบริษัท โดยเฉพาะอย่างยิ่งเมื่ออ้างว่าเสนอทางเลือกที่ “เร็วกว่า” หรือ “ปลอดภัยกว่า” ควรแจ้งเตือนทันที ผู้โจมตีอาจให้ลิงก์ที่ดูเหมือนถูกต้องตามกฎหมายแต่จริงๆ แล้วชี้ไปที่โดเมนที่เป็นอันตราย
หมายเลขเคสหรือตั๋วสนับสนุนที่ไม่ได้ตรวจสอบ
การให้ หมายเลขกรณี เพื่อแนะนำพอร์ทัลฟิชชิ่งที่สร้างขึ้นเองนั้นสร้างความรู้สึกผิดๆ ว่าน่าเชื่อถือ ไม่มีบริการที่ถูกกฎหมายใดที่จะขอให้ผู้ใช้ยืนยันตัวตนหรือดำเนินการผ่านลิงก์ภายนอกที่กำหนดเองพร้อมหมายเลขกรณี
ข้อมูลจริงและข้อมูลเท็จปะปนกัน
ผู้โจมตีมักจะผสมข้อมูลส่วนตัวจริง (เช่น ที่อยู่อีเมลหรือหมายเลขประกันสังคมบางส่วน) กับข้อมูลที่คลุมเครือหรือไม่ถูกต้องเพื่อเพิ่มความน่าเชื่อถือ ความไม่สอดคล้องหรือการอ้างอิงที่คลุมเครือถึง ห่วงโซ่ กระเป๋าสตางค์ หรือ การตรวจสอบความปลอดภัย ควรพิจารณาด้วยความสงสัย
ใช้ชื่อบริษัทจริงในการเสนอทางเลือก
การแนะนำชื่อที่เชื่อถือได้ เช่น SafePal (แม้ว่าบริษัทเหล่านี้จะถูกกฎหมายก็ตาม) อาจเป็นกลวิธีเบี่ยงเบนความสนใจที่ให้ภาพลักษณ์ว่ามีตัวเลือกและถูกต้องตามกฎหมาย แต่แท้จริงแล้วกลับนำเหยื่อไปสู่การดำเนินการที่เป็นอันตราย
ความขยันเกินควรโดยไม่มีการตรวจสอบ
ผู้โจมตีมีความอดทน สนับสนุนให้ฉันค้นคว้าด้วยตัวเอง และไม่ได้ขอข้อมูลที่ละเอียดอ่อนในตอนแรก พฤติกรรมนี้เลียนแบบตัวแทนฝ่ายบริการลูกค้าจริง ทำให้การหลอกลวงนี้ดูเป็นมืออาชีพ ความช่วยเหลือที่ไม่ได้ร้องขอใดๆ ที่ดูเหมือน ดีเกินจริง ควรได้รับการพิจารณาด้วยความสงสัย
มาตรการป้องกันเชิงรุกและคำแนะนำ
เปิดใช้งานการตรวจสอบระดับธุรกรรมบนการแลกเปลี่ยน
เปิดใช้งานการตรวจสอบสองขั้นตอนและการยืนยันโดยใช้ captcha ในการตั้งค่าการแลกเปลี่ยนของคุณ วิธีนี้จะช่วยให้มั่นใจว่าความพยายามในการส่งหรือโอนเงินใดๆ จะต้องส่งไปยังอุปกรณ์ที่เชื่อถือได้เพื่อการยืนยันแบบเรียลไทม์ ช่วยป้องกันธุรกรรมที่ไม่ได้รับอนุญาต
ติดต่อผู้ให้บริการผ่านช่องทางที่ถูกกฎหมายและผ่านการตรวจสอบเสมอ
ในกรณีนี้ ฉันติดต่อผู้ให้บริการมือถือและ Coinbase ของฉันโดยเข้าสู่ระบบโดยตรงในแพลตฟอร์มอย่างเป็นทางการและส่งตั๋วสนับสนุน นี่เป็นวิธีเดียวที่ปลอดภัยที่สุดและเหมาะสมที่สุดในการโต้ตอบกับฝ่ายบริการลูกค้าเมื่อความปลอดภัยของบัญชีของคุณถูกบุกรุก
ฝ่ายสนับสนุนการแลกเปลี่ยนจะไม่ขอให้คุณย้าย เข้าถึง หรือปกป้องเงินทุนของคุณ
พวกเขาจะไม่ขอหรือให้รหัสเมล็ดพันธุ์ของกระเป๋าเงินของคุณ ขอรหัสยืนยันสองปัจจัย หรือพยายามเข้าถึงจากระยะไกลหรือติดตั้งซอฟต์แวร์บนอุปกรณ์ของคุณ
พิจารณาใช้กระเป๋าเงินหลายลายเซ็นหรือโซลูชันการจัดเก็บแบบเย็น
กระเป๋าเงินหลายลายเซ็นต้องให้หลายฝ่ายอนุมัติธุรกรรมในขณะที่กระเป๋าเงินแบบเย็นจะเก็บคีย์ส่วนตัวของคุณไว้แบบออฟไลน์โดยสมบูรณ์ ทั้งสองวิธีมีประสิทธิผลในการปกป้องการถือครองในระยะยาวจากการฟิชชิ่งระยะไกลหรือการโจมตีด้วยมัลแวร์
สร้างบุ๊กมาร์กเว็บไซต์อย่างเป็นทางการและหลีกเลี่ยงการคลิกลิงก์จากข้อความที่ไม่ได้รับการร้องขอ
การป้อน URL ด้วยตนเองหรือใช้บุ๊กมาร์กที่เชื่อถือได้ถือเป็นวิธีที่ดีที่สุดในการหลีกเลี่ยงการปลอมโดเมน
ใช้ตัวจัดการรหัสผ่านเพื่อระบุไซต์ที่น่าสงสัยและรักษารหัสผ่านที่แข็งแกร่ง
โปรแกรมจัดการรหัสผ่านช่วยป้องกันการฟิชชิ่งโดยปฏิเสธการกรอกอัตโนมัติในโดเมนปลอมหรือที่ไม่รู้จัก เปลี่ยนรหัสผ่านของคุณเป็นประจำและทันทีหากคุณสงสัยว่ามีการโจมตีที่เป็นอันตราย
ตรวจสอบแอปที่เชื่อมโยง คีย์ API และการผสานรวมของบุคคลที่สามเป็นประจำ
เพิกถอนการเข้าถึงแอปหรือบริการใดๆ ที่คุณไม่ได้ใช้หรือไม่รู้จักอีกต่อไป
เปิดใช้งานการแจ้งเตือนบัญชีแบบเรียลไทม์ในกรณีที่มี
การแจ้งเตือนการเข้าสู่ระบบ การถอนตัว หรือการเปลี่ยนแปลงการตั้งค่าความปลอดภัยสามารถเป็นคำเตือนที่สำคัญล่วงหน้าเกี่ยวกับกิจกรรมที่ไม่ได้รับอนุญาตได้
รายงานกิจกรรมที่น่าสงสัยทั้งหมดไปยังทีมสนับสนุนอย่างเป็นทางการของผู้ให้บริการ
การรายงานล่วงหน้าช่วยป้องกันการโจมตีในวงกว้างและยังช่วยเพิ่มความปลอดภัยโดยรวมให้กับแพลตฟอร์มอีกด้วย
สรุปแล้ว
สำหรับสถาบันการเงิน ทีมรักษาความปลอดภัยไอที และผู้บริหาร การโจมตีครั้งนี้เน้นย้ำว่าเมื่อนำข้อมูลในอดีตมาใช้ใหม่และผสมผสานกับวิศวกรรมโซเชียลแบบเรียลไทม์ แฮกเกอร์จะสามารถหลบเลี่ยงการป้องกันความปลอดภัยที่ซับซ้อนที่สุดได้ ผู้ก่อภัยคุกคามไม่พึ่งพาการโจมตีแบบบรูทฟอร์ซเพียงอย่างเดียวอีกต่อไป แต่ใช้กลยุทธ์ข้ามช่องทางที่ประสานงานกันเพื่อสร้างความไว้วางใจและหลอกลวงผู้ใช้โดยเลียนแบบเวิร์กโฟลว์ที่ถูกต้องตามกฎหมาย
เราไม่เพียงแต่ต้องปกป้องความปลอดภัยของระบบและเครือข่ายเท่านั้น แต่ยังต้องระบุภัยคุกคามและดำเนินการเพื่อปกป้องตนเองด้วย ไม่ว่าจะทำงานในหน่วยงานด้านคริปโตหรือจัดการสินทรัพย์คริปโตที่บ้าน ทุกคนต้องเข้าใจว่าช่องโหว่ด้านความปลอดภัยส่วนบุคคลอาจกลายเป็นความเสี่ยงเชิงระบบได้อย่างไร
เพื่อป้องกันภัยคุกคามเหล่านี้ องค์กรต่างๆ จะต้องเพิ่มการป้องกันหลายชั้น เช่น การตรวจสอบชื่อโดเมน การตรวจสอบสิทธิ์แบบปรับตัว การตรวจสอบสิทธิ์หลายปัจจัยเพื่อป้องกันการฟิชชิ่ง และโปรโตคอลการสื่อสารที่ชัดเจน นอกจากนี้ บริษัทต่างๆ ยังต้องปลูกฝังวัฒนธรรมแห่งความรู้ด้านความปลอดภัยทางไซเบอร์ เพื่อให้พนักงานทุกคน ตั้งแต่วิศวกรไปจนถึงผู้บริหาร เข้าใจบทบาทของตนในการปกป้องบริษัท ในสภาพแวดล้อมปัจจุบัน ความปลอดภัยไม่เพียงแต่เป็นหน้าที่ทางเทคนิคเท่านั้น แต่ยังเป็นความรับผิดชอบที่บุคคลและองค์กรทั้งหมดต้องร่วมกันแบ่งปันอีกด้วย
