По словам директора по безопасности компании Binance, в самых тенистых уголках темной паутины скрывается "хорошо налаженная" экосистема хакеров, которые нацелены на пользователей криптовалют с плохой "гигиеной безопасности".

В беседе с Cointelegraph генеральный директор Binance Джимми Су сказал, что в последние годы хакеры переключили свое внимание на конечных пользователей криптовалют.

Су отметил, что когда Binance только открылась в июле 2017 года, команда наблюдала множество попыток взлома внутренней сети. Однако по мере того, как криптовалютные биржи продолжали укреплять свою безопасность, акцент сместился.

Фишинговые аферы особенно распространены в электронной почте.

Они используются для сбора конфиденциальной информации, выдавая себя за человека, которому вы доверяете.

Воспользуйтесь приведенным ниже блогом, чтобы узнать, как уберечься от них. https://t.co/UtKBvR52lX

- Binance (@binance) 4 июля 2023 г.

"Хакеры всегда выбирают самую низкую планку для достижения своих целей, потому что для них это тоже бизнес. Хакерское сообщество - это устоявшаяся экосистема".

По словам Су, эта экосистема состоит из четырех отдельных слоев - сборщиков разведданных, уточнителей данных, хакеров и отмывателей денег.

Сборщики данных

Самый верхний уровень - это то, что Су назвал "разведкой угроз". Здесь злоумышленники собирают и обобщают незаконно полученные сведения о пользователях криптовалют, создавая целые электронные таблицы с подробной информацией о различных пользователях.

Это могут быть криптовалютные сайты, которые часто посещает пользователь, его электронная почта, имя, а также то, есть ли он в Telegram или социальных сетях.

"Существует рынок для этого в темной паутине, где продается [...] эта информация, которая описывает пользователя", - объяснил Су в интервью в мае.

Су отметил, что эта информация обычно собирается в массовом порядке, например, в результате утечек информации о предыдущих клиентах или взломов, направленных на других поставщиков или платформы.

Сотрудник нашего поставщика электронной почты, https://t.co/6vM4WAcJal, использовал свой служебный доступ для загрузки и обмена адресами электронной почты с неавторизованной внешней стороной.

Пострадали адреса электронной почты, предоставленные компании OpenSea пользователями или подписчиками новостной рассылки.https://t.co/Osb6qqkqZZ.

- OpenSea (@opensea) 30 июня 2022 г.

В апреле в исследовании Privacy Affairs было показано, что киберпреступники продают взломанные криптовалютные счета всего за 30 долларов США. Поддельные документы, которые часто используются хакерами для открытия счетов на сайтах по торговле криптовалютами, также можно купить в темной паутине.

Уточнители данных

По словам Су, собранные данные затем продаются другой группе - обычно состоящей из инженеров по обработке данных, которые специализируются на уточнении данных.

"Например, в прошлом году был создан набор данных по пользователям Twitter. [...] Основываясь на этой информации, они могут уточнить ее, чтобы на основе твитов увидеть, какие из них действительно связаны с криптовалютами".

Затем эти инженеры по обработке данных будут использовать "скрипты и ботов", чтобы выяснить, на каких биржах может быть зарегистрирован криптоэнтузиаст.

Они делают это, пытаясь создать учетную запись с помощью адреса электронной почты пользователя. Если они получают ошибку, говорящую о том, что адрес уже используется, то они узнают, пользуются ли они биржей - это может быть ценной информацией, которая может быть использована более целевыми мошенниками, сказал Су.

Хакеры и фишеры

Третий слой - это, как правило, то, что создает заголовки. Фишинговые мошенники или хакеры используют ранее уточненные данные для создания "целевых" фишинговых атак.

"Поскольку теперь они знают, что `Томми` является пользователем биржи `X`, они могут просто послать SMS со словами: "Привет, Томми, мы обнаружили, что кто-то снял $5,000 с твоего счета, пожалуйста, перейдите по этой ссылке и свяжитесь со службой поддержки, если это был не ты".

В марте поставщик аппаратных кошельков Trezor предупредил своих пользователей о фишинговой атаке, направленной на кражу денег инвесторов, заставив их ввести фразу восстановления кошелька на поддельном сайте Trezor.

В фишинговой кампании злоумышленники выдавали себя за Trezor и связывались с жертвами по телефону, смс или электронной почте, утверждая, что на их аккаунте Trezor произошло нарушение безопасности или подозрительная активность.

Скриншот с фишингового домена, копирующего сайт Trezor`s. Источник: Bleeping Computer
Скриншот с фишингового домена, копирующего сайт Trezor`s. Источник: Bleeping Computer

Уйти от ответственности

После того как средства похищены, остается последний шаг - скрыться с места преступления. Су объяснил, что это может включать в себя оставление средств в спящем состоянии в течение многих лет, а затем перевод их в криптомикшер, такой как Tornado Cash.

"Есть группы, которые, как мы знаем, могут сидеть на своих украденных доходах в течение двух-трех лет без какого-либо движения", - добавил Су.

Хотя мало что может остановить крипто-хакеров, Су призывает пользователей криптовалют лучше соблюдать "гигиену безопасности".

Это может включать отзыв разрешений для децентрализованных финансовых проектов, если они больше не используют их, или обеспечение конфиденциальности каналов связи, таких как электронная почта или SMS, которые используются для двухфакторной аутентификации.

Журнал: Tornado Cash 2.0 - гонка за создание безопасных и легальных миксеров для монет

Источник