Due dei più grandi scambi di criptovalute del mondo, Binance e Kraken, hanno apparentemente respinto attacchi coordinati di ingegneria sociale mirati a compromettere i sistemi interni attraverso la corruzione interna - un vettore di attacco che ha recentemente avuto successo nel violare Coinbase.
I tentativi falliti sottolineano la crescente sofisticazione dei criminali informatici che prendono di mira piattaforme crypto centralizzate e la fragilità dei sistemi di sicurezza dipendenti dall'uomo.
Secondo fonti citate da Bloomberg, gli aggressori si sono avvicinati al personale del supporto clienti di Binance e Kraken, offrendo tangenti in cambio dell'accesso ai sistemi e ai dati sensibili dei clienti. Le comunicazioni sono state facilitate attraverso Telegram, dove gli attori della minaccia fornivano istruzioni e promesse di pagamento in cambio dell'accesso ai cruscotti interni.
A differenza dell'incidente avvenuto su Coinbase, che ha portato a una grave violazione dei dati e ha innescato una potenziale responsabilità fino a 400 milioni di dollari, gli attacchi a Binance e Kraken sono stati intercettati prima che qualsiasi dato utente fosse esposto. Gli incidenti mettono in risalto non solo l'efficacia delle salvaguardie tecniche e basate su politiche, ma anche il rischio crescente di sfruttamento interno nel settore crypto.
Schema degli attacchi riflette l'incidente di Coinbase
L'ultima ondata di attacchi informatici focalizzati sull'interno sembra rispecchiare le tattiche utilizzate nella recente violazione di Coinbase. In quel caso, attori malintenzionati hanno corrotto con successo agenti di supporto clienti esteri - che erano o contrattisti o dipendenti di livello inferiore - e hanno sfruttato i permessi interni per accedere ai dati identificativi dei clienti, inclusi documenti d'identità emessi dal governo e indirizzi.
Tale violazione ha portato a una richiesta di riscatto di 20 milioni di dollari e avrebbe influito su centinaia di migliaia di utenti, alcuni dei quali sono stati successivamente presi di mira in campagne di phishing e schemi di furto d'identità. Coinbase ha successivamente licenziato i dipendenti implicati e contattato le agenzie di applicazione della legge degli Stati Uniti, ma le conseguenze continuano a manifestarsi.
Binance e Kraken sono stati in grado di identificare e neutralizzare minacce simili in anticipo, suggerendo che gli operatori degli scambi stanno cominciando ad adattarsi alla minaccia crescente dell'ingegneria sociale nelle operazioni di supporto ai clienti crypto.
Telegram: l'hub di coordinamento per le offerte di corruzione
Gli aggressori hanno utilizzato handle di Telegram per contattare direttamente il personale degli scambi. Questi account condividevano istruzioni precise su come recuperare ed esfiltrare i dati dei clienti, aggirare il monitoraggio e accettare pagamenti in criptovaluta.
Gli esperti di sicurezza affermano che Telegram è diventato sempre più la piattaforma di riferimento per coordinare le attività di corruzione, il brokerage di dati e le attività di ransomware nel crypto. Le sue caratteristiche di anonimato, la grande base di utenti e la mancanza di moderazione lo rendono ideale per il coordinamento criminale, specialmente quando si mira all'accesso interno.
Ciò che distingue questi attacchi dai phishing tradizionali è il loro focus sull'impegno umano diretto e sulla manipolazione. Piuttosto che sfruttare le vulnerabilità del software, gli aggressori scommettono su un anello debole umano - contrattisti a basso costo, personale di supporto sopraffatto o dipendenti junior con accesso a sistemi sensibili.
Binance e Kraken accreditano le difese automatizzate e i limiti di accesso
In Binance, i sistemi di monitoraggio interni - alcuni dei quali alimentati da apprendimento automatico - avrebbero segnalato schemi di comunicazione sospetti, inclusi parole chiave relative alla corruzione e tentativi di contatto esterni tramite Telegram. I filtri di conversazione basati sull'intelligenza artificiale sono stati in grado di intercettare e isolare le interazioni rischiose prima che si verificasse un'escalation.
Inoltre, la politica di Binance di limitare l'accesso ai dati dei clienti solo se attivato da un contatto iniziato dall'utente ha aiutato a limitare l'area di sfruttamento. Secondo le informazioni fornite da persone dell'azienda, gli agenti di supporto mirati non avevano le autorizzazioni necessarie per recuperare in modo indipendente informazioni sensibili, il che ha neutralizzato la strategia degli aggressori.
Kraken ha utilizzato in modo simile politiche di controllo degli accessi e monitoraggio interno per fermare il tentativo di violazione. Sebbene i dettagli siano limitati, fonti riportano che entrambi gli scambi hanno adottato misure proattive nel Q4 2024 per rafforzare i controlli di accesso ai dati dopo avvisi a livello industriale sull'aumento del rischio interno.
Il fallimento di Coinbase mette in evidenza le vulnerabilità dell'industria
La violazione di Coinbase, rivelata all'inizio di questo mese, ha gettato un'ombra sulle pratiche di sicurezza degli scambi centralizzati. La piattaforma ora deve affrontare costi potenziali di rimedio e rimborso fino a 400 milioni di dollari, oltre a un crescente scrutinio normativo sul suo trattamento dei dati personali.
Coinbase avrebbe ricevuto avvertimenti già da dicembre 2024 da piattaforme rivali riguardo a una campagna coordinata che prendeva di mira i desk di supporto. Entro gennaio, i sistemi interni stavano registrando un'attività di supporto insolita. Tuttavia, l'attacco non è stato contenuto fino a quando non si è verificato un danno significativo.
Questo ritardo ha sollevato preoccupazioni su lacune nella comunicazione interna e l'efficacia della sorveglianza della sicurezza di Coinbase, specialmente alla luce del suo ruolo istituzionale crescente - servendo come custode per la maggior parte degli ETF su Bitcoin ed Ethereum approvati negli Stati Uniti.
Con Coinbase che gestisce la custodia per 8 su 11 ETF su Bitcoin spot e 8 su 9 ETF su Ethereum spot, i critici sostengono che l'azienda rappresenta un singolo punto di fallimento nell'infrastruttura crypto degli Stati Uniti - una preoccupazione ora amplificata dalla recente violazione.
Una tendenza più ampia nell'industria: le minacce interne in aumento
Gli eventi accaduti a Coinbase, Binance e Kraken riflettono una tendenza più ampia nella cybersecurity: l'aumento delle minacce interne come principale vettore per la compromissione dei dati. Mentre gli scambi si espandono rapidamente e esternalizzano parti del loro supporto e operazioni, diventano più vulnerabili agli attacchi che non si basano sul rompersi dei firewall, ma invece sulla corruzione delle persone.
Questo non è unico per il mondo crypto. Nella finanza tradizionale e nella Big Tech, le minacce interne sono a lungo state una preoccupazione. Ma l'etica di decentralizzazione del crypto spesso crea discrepanze tra aspettative di sicurezza e realtà operative.
Gli scambi promettono custodia, anonimato e sicurezza, ma spesso si affidano a team umani con accesso in tempo reale ai sistemi, introducendo un rischio intrinseco. La fuga di Coinbase è stata particolarmente dannosa perché ha coinvolto dati KYC (Know Your Customer), come indirizzi e ID governativi, che non possono essere reversi o riemessi come password o chiavi private.
Le conseguenze legali e normative
Mentre Binance e Kraken hanno evitato lo scenario peggiore, è probabile che i regolatori vedano questi incidenti come ulteriore evidenza di controlli operativi insufficienti nei framework di servizio clienti crypto. Le agenzie statunitensi hanno precedentemente richiesto norme più severe su privacy dei dati, gestione dell'identità e protezione dei clienti nel settore.
Mentre la SEC, la CFTC e FinCEN discutono l'ambito dell'applicazione nel trattamento dei dati correlati al crypto, queste minacce interne potrebbero fungere da punto di svolta. Proposte legislative come il disegno di legge FIT21 e altre leggi sulla struttura del mercato crypto in esame al Congresso potrebbero incorporare mandati più forti per la sicurezza interna e la responsabilità degli scambi.
Dato il volume di asset detenuti e il volume di dati KYC raccolti su piattaforme centralizzate, i regolatori sono sempre più preoccupati su cosa accade quando "la fiducia" nello scambio diventa l'anello debole.
Protezione contro l'ingegneria sociale interna
Gli esperti affermano che le difese più efficaci contro l'ingegneria sociale non sono puramente tecniche - sono procedurali e culturali. Le piattaforme devono investire nella formazione sulla consapevolezza dei dipendenti, migliorare la verifica dei contrattisti, ridurre l'accesso privilegiato e implementare rilevamenti più aggressivi attorno a comportamenti di supporto anomali.
Alcune migliori pratiche emergenti dagli ultimi incidenti includono:
- Architettura di accesso zero-trust: assumere che gli attori interni possano essere compromessi e limitare l'accesso a livelli di "minimo privilegio".
- Monitoraggio in tempo reale basato su intelligenza artificiale: segnalare il linguaggio indicativo di corruzione, contatti fuori piattaforma o richieste di dati incoerenti con il comportamento dell'utente.
- Canali interni di whistleblower: incoraggiare il personale di supporto a segnalare interazioni sospette.
- Tracciabilità audit on-chain: utilizzare contratti intelligenti e registri automatizzati per le richieste di dati, garantendo responsabilità.
- Condivisione di intelligence cross-platform: coordinarsi con altri scambi su tendenze di attacco e vettori tentati.
Questi tipi di misure potrebbero aver aiutato Coinbase a contenere la sua violazione prima - o prevenirla del tutto.
Riflessioni finali
I tentativi di corruzione falliti presso Binance e Kraken - e la violazione riuscita su Coinbase - illustrano un preoccupante paradosso nel settore crypto. Anche se le blockchain promuovono decentralizzazione e sicurezza attraverso il codice, le piattaforme che supportano l'uso quotidiano rimangono vulnerabili a minacce molto umane.
Finché gli scambi centralizzati rimarranno il gateway alla crypto per la maggior parte degli utenti - e continueranno a memorizzare dati utente sensibili - la manipolazione interna rimarrà un metodo di attacco preferito per gli hacker. La sfida dell'industria ora è quella di evolvere i suoi modelli di sicurezza per riflettere questa realtà, mentre i regolatori valutano come applicare protezioni più rigorose su tutta la linea.
Con il danno reputazionale, la responsabilità finanziaria e lo scrutinio normativo tutti in gioco, la posta in gioco per farlo nel modo giusto non è mai stata così alta.