Хотя выражение «гигиена безопасности» комично напоминает о плакатах «Мойте руки перед едой!», а утверждение о том, что злоумышленники даркнета объединяются, — о бандитах из темной подворотни, это не так уж смешно, поскольку по сути недалеко от истины. Хакеры, конечно, не вирусы, но поберечься стоит. Тем более, что специалисты вполне серьезно утверждают: на очереди — в качестве жертв — обычные криптопользователи. Та самая мелочь, которую прежде криптомошенники не считали достойной внимания, предпочитая атаковать рыбу покрупнее.
Главный специалист службы безопасности Binance Джимми Су рассказывает: когда Binance только открылась (а было это в июле 2017 года), команда столкнулась со множеством попыток взлома внутренней сети. Однако их становилось все меньше по мере того, как криптовалютные биржи продолжали укреплять свою безопасность.
В условиях, когда цитадели почти неприступны, взломщики переключаются с дворцов на хижины. То есть, непосредственно на вас.
Это на вас нацелено чрезвычайно распространенное в электронной почте фишинг-мошенничество — способ собрать вашу конфиденциальную информацию, выдавая себя за кого-то, кому вы доверяете.
«Используйте приведенный ниже блог, чтобы узнать, как обезопасить себя от них», — пишет Binance (@binance) 4 июля 2023 г.
«Хакеры всегда выбирают самую низкую планку для достижения своих целей, потому что для них это тоже бизнес. Хакерское сообщество представляет собой устоявшуюся экосистему», — говорит Су.
По его словам, эта экосистема состоит из четырех отдельных уровней: сборщиков разведывательных данных, уточнителей данных, хакеров и отмывателей денег.
Сбор данных
Самый первый уровень — это то, что Су называет «информацией об угрозах». Здесь злоумышленники собирают и сопоставляют полученную нечестным путем информацию о пользователях криптовалюты, создавая целые электронные таблицы, заполненные подробностями о разных пользователях. Это может быть список криптовалютных веб-сайтов, которые пользователь часто посещает, адресов электронной почты и ников, которые он использует, а также информация о его активности в Telegram или социальных сетях.
«В даркнете есть рынок для этого, там продается вся эта информация, описывающая пользователя», — объясняет Су.
Су отмечает, что все эти сведения обычно собираются в большом количестве, например, в ходе утечек информации о клиентах или в процессе взломов, нацеленных на разные платформы.
«Сотрудник нашего поставщика электронной почты, customer.io, злоупотребил доступом своего сотрудника для загрузки и обмена адресами электронной почты с неавторизованной внешней стороной. Были затронуты адреса электронной почты, предоставленные OpenSea пользователями или подписчиками новостной рассылки», — соощила платформа OpenSea (@opensea) 30 июня 2022 г.
Проведенное в апреле 2022 года исследование Privacy Affairs показало, что киберпреступники продают взломанные криптоаккаунты всего по 30 долларов за штуку. Поддельную документацию, часто используемую хакерами для открытия счетов на сайтах по торговле криптовалютой, также можно купить в даркнете.
Уточнение данных
По словам Су, собранные данные затем продаются другой группе, обычно состоящей из дата-инженеров, специализирующихся на уточнении данных.
«Например, в прошлом году был сформирован набор данных пользователей Twitter. Имея эту информацию, злоумышленники могут уточнить ее, чтобы на основе твитов увидеть, кто из пользователей на самом деле связан с криптовалютой».
Затем эти инженеры данных будут использовать «скрипты и ботов», чтобы выяснить, на каких биржах может быть зарегистрирован криптоэнтузиаст.
Они делают это, пытаясь создать учетную запись с адресом электронной почты пользователя. Если они получат сообщение об ошибке, в котором говорится, что адрес уже используется, они узнают, использует ли данный пользователь конкретную биржу, что может быть ценной информацией, применимой в процессе целенаправленного мошенничества, говорит Су.
Хакинг и фишинг
Фишинговые мошенники или хакеры используют ранее уточненные их «коллегами» данные для создания «целевых» фишинговых атак.
«Поскольку теперь они знают, что «Томми» является пользователем биржи «X», они могут просто отправить ему SMS со словами: «Эй, Томми, мы обнаружили, что кто-то снял 5000 долларов с вашего счета; пожалуйста, нажмите на эту ссылку и обратитесь в службу поддержки, если это были не вы», — говорит Су.
В марте поставщик аппаратных кошельков Trezor предупредил своих пользователей о фишинговой атаке, направленной на кражу денег инвесторов: мошенники заставляли пользователей вводить фразу восстановления кошелька на поддельном веб-сайте Trezor.
В этой фишинговой кампании злоумышленники выдавали себя за сотрудников Trezor и связывались с жертвами по телефону, с помощью текстовых сообщений или по электронной почте, утверждая, что в их учетной записи Trezor произошло нарушение безопасности или имеет место подозрительная активность.
Скриншот с фишингового домена, копирующего сайт Trezor. Источник: Bleeping Computer.
Мойте руки перед бедой
После того, как средства украдены, последний шаг — вывод их. Су объясняет, что украденные злоумышленниками средства могут оставаться бездействующими в течение многих лет, а затем перемещаются в крипто-микшер, такой как Tornado Cash (TORN).
«Есть известные нам группы, которые могут сидеть на своих украденных доходах два-три года без каких-либо движений», — утверждает Су.
Хотя мало что может остановить крипто-хакеров, Су призывает пользователей криптовалюты усерднее практиковать «гигиену безопасности».
Мытье рук от криптомошенников не спасет. В вашем случае «гигиена безопасности» может включать отзыв разрешений для децентрализованных финансовых проектов, если вы больше не используете их, или обеспечение конфиденциальности каналов связи, таких как электронная почта или SMS, путем двухфакторной аутентификации.