Две крупнейшие в мире криптовалютные биржи, Binance и Kraken, по сообщениям, отразили скоординированные атаки социальной инженерии, направленные на компрометацию внутренних систем через инсайдерские взятки — атакующий вектор, который недавно привел к утечке данных в Coinbase.
Неудачные попытки подчеркивают растущий уровень сложности киберпреступников, нацеливающихся на централизованные криптоплатформы и уязвимость человеко-зависимых систем безопасности.
Согласно источникам, цитируемым Bloomberg, злоумышленники подходили к сотрудникам службы поддержки клиентов как в Binance, так и в Kraken, предлагая взятки в обмен на доступ к системам и конфиденциальным данным клиентов. Общение происходило через Telegram, где злоумышленники предоставляли инструкции и обещания платежей в обмен на доступ к внутренним панелям управления.
В отличие от инцидента в Coinbase, который привел к серьезной утечке данных и потенциальной ответственности до 400 миллионов долларов, атаки на Binance и Kraken были перехвачены до того, как какие-либо пользовательские данные были раскрыты. Эти инциденты подчеркивают не только эффективность технических и основанных на политиках средств защиты, но и растущий риск инсайдерской эксплуатации в криптосекторе.
Узор атак напоминает инцидент в Coinbase
Последняя волна кибератак, сосредоточенных на инсайдерах, кажется, напоминает тактику, использованную в недавней утечке данных в Coinbase. В этом случае злоумышленники успешно подкупили за рубежом агентов службы поддержки — контрагентов или младших сотрудников — и использовали внутренние разрешения для доступа к данным идентификации клиентов, включая удостоверения личности и адреса, выданные государством.
Эта утечка привела к выкупному требованию в размере 20 миллионов долларов и, как сообщается, затронула сотни тысяч пользователей, некоторых из которых позже нацелили в фишинговых кампаниях и схемах кражи идентичности. Coinbase с тех пор уволила замешанных сотрудников и обратилась в правоохранительные органы США, но последствия продолжают разворачиваться.
Binance и Kraken смогли заранее выявить и нейтрализовать аналогичные угрозы, что свидетельствует о том, что операторы бирж начинают адаптироваться к растущей угрозе социальной инженерии в операциях по поддержке клиентов криптовалют.
Telegram: Координационный центр для предложений взяток
Злоумышленники использовали аккаунты Telegram, чтобы связаться непосредственно с сотрудниками бирж. Эти аккаунты делились точными инструкциями о том, как получать и извлекать данные клиентов, обходить мониторинг и принимать платежи в криптовалюте.
Эксперты по безопасности говорят, что Telegram все чаще становится платформой для координации взяток, торговли данными и деятельности по вымогательству в пределах криптопространства. Его функции анонимности, большая база пользователей и отсутствие модерации делают его идеальным для преступной координации, особенно когда целью является инсайдерский доступ.
Что отличает эти атаки от традиционного фишинга, так это их акцент на прямом взаимодействии с людьми и манипуляции. Вместо того, чтобы использовать уязвимости программного обеспечения, злоумышленники делают ставку на человеческое слабое место — работников на низкооплачиваемых позициях, перегруженных сотрудников поддержки или младших сотрудников с доступом к чувствительным системам.
Binance и Kraken благодарят автоматизированные системы защиты и ограничения доступа
На Binance внутренние системы мониторинга — некоторые из которых работают на основе машинного обучения — обнаружили подозрительные коммуникационные паттерны, включая ключевые слова, связанные с взятками, и попытки контакта с внешними аккаунтами в Telegram. AI-управляемые фильтры для разговоров смогли перехватить и изолировать рискованные взаимодействия до их эскалации.
Более того, политика Binance по ограничению доступа к данным клиентов, если их не инициировал пользовательский контакт, помогла сократить поверхностную область для эксплуатации. По данным источников компании, у агентов поддержки, на которых нацеливались, не было необходимых разрешений для самостоятельного извлечения конфиденциальной информации, что нейтрализовало стратегию злоумышленников.
Kraken аналогично использовал политику контроля доступа и внутренний мониторинг для предотвращения попытки взлома. Хотя детали остаются ограниченными, источники говорят, что обе биржи предприняли проактивные шаги в четвертом квартале 2024 года для ужесточения контроля доступа к данным после предупреждений в индустрии о росте инсайдерских угроз.
Неспособность Coinbase подчеркивает уязвимости индустрии
Утечка данных в Coinbase, раскрытая ранее в этом месяце, бросает тень на практики безопасности централизованных бирж. Теперь платформе грозят потенциальные расходы на устранение последствий и возмещение убытков до 400 миллионов долларов, а также усиливающееся регулирование в связи с обращением с персональными данными.
Coinbase, как сообщается, получила предупреждения с декабря 2024 года от конкурентов о скоординированной кампании, нацеленной на службы поддержки. К январю внутренние системы регистрировали необычную активность в службах поддержки. Тем не менее, атака не была сдержана до тех пор, пока значительный ущерб не был нанесен.
Это задержка вызвала обеспокоенность относительно внутренних коммуникационных разрывов и эффективности надзора за безопасностью Coinbase, особенно на фоне его растущей институциональной роли — обслуживания в качестве попечителя для большинства утвержденных в США спотовых ETF на биткойн и эфириум.
С Coinbase, касающимся попечительства 8 из 11 спотовых ETF на биткойн и 8 из 9 спотовых ETF на эфириум, критики утверждают, что компания представляет собой единственную точку отказа в криптоинфраструктуре США — проблема, теперь усугубленная ее недавней утечкой.
Более широкая тенденция в индустрии: рост внутренних угроз
События в Coinbase, Binance и Kraken отражают более широкую тенденцию в области кибербезопасности: рост внутренних угроз как основного вектора для компрометации данных. По мере того как биржи быстро расширяются и передают на аутсорсинг часть своей поддержки и операций, они становятся более уязвимыми для атак, которым не требуется пробивать файрволы, а вместо этого основываются на подкупе людей.
Это не уникально для крипто. В традиционных финансах и больших технологических компаниях внутренние угрозы давно вызывают обеспокоенность. Однако децентрализованная философия крипто часто создает несоответствия между ожиданиями по части безопасности и операционной реальностью.
Биржи обещают хранение, анонимность и безопасность, но часто зависят от человеческих команд с доступом в реальном времени к системам, что создает внутренний риск. Утечка в Coinbase была особенно разрушительной, так как включала данные KYC (проверки клиента), такие как адреса и удостоверения личности, которые не могут быть заменены или переизданы как пароли или закрытые ключи.
Юридические и регулятивные последствия
Хотя Binance и Kraken избежали наихудшего сценария, вероятно, регулирующие органы увидят в этих инцидентах дополнительное доказательство недостатков в операционном контроле в рамках клиентских услуг криптоиндустрии. Ранее американские агентства призывали к ужесточению правил по защите данных, управлению идентификацией и защите клиентов по всему сектору.
По мере того как SEC, CFTC и FinCEN обсуждают рамки применения для работы с крипто-связанными данными, эти внутренние угрозы могут стать переломным моментом. Законодательные предложения, такие как закон FIT21 и другие законы о структуре крипторынка, находящиеся на рассмотрении в Конгрессе, могут включать более жесткие внутренние меры безопасности и учетной отчетности для бирж.
Учитывая масштабы активов, удерживаемых и объем данных KYC, собранных на централизованных платформах, регулирующие органы все больше обеспокоены тем, что происходит, когда "доверие" к бирже становится самым слабым звеном.
Защита от социальной инженерии инсайдеров
Эксперты говорят, что наиболее эффективные средства защиты от социальной инженерии не являются исключительно техническими — это процедурные и культурные меры. Платформам необходимо вкладывать средства в обучение сотрудников повышению осведомленности, улучшение проверки подрядчиков, уменьшение привилегированного доступа и внедрение более агрессивного оповещения о ненормальном поведении службы поддержки.
Некоторые передовые практики, вытекающие из последних инцидентов, включают:
- Архитектура доступа с нулевым доверием: предполагайте, что внутренние акторы могут быть скомпрометированы, и ограничивайте доступ до уровней "наименьшего привилегия".
- Мониторинг в реальном времени на основе ИИ: выявляйте язык, указывающий на взяточничество, контакты вне платформы или запросы данных, не соответствующие пользовательскому поведению.
- Внутренние каналы для информаторов: поощряйте сотрудников службы поддержки сообщать о подозрительных взаимодействиях.
- Цепочки аудита на блокчейне: используйте смарт-контракты и автоматизированные логи для запросов данных, обеспечивая учетную отчетность.
- Обмен разведывательной информацией между платформами: координируйте с другими биржами тренды атак и попыток взлома.
Эти меры могли бы помочь Coinbase сдержать утечку данных раньше или полностью предотвратить ее.
Заключительные мысли
Попытки взяточничества, не увенчавшиеся успехом в Binance и Kraken, и успешная утечка данных в Coinbase подчеркивают тревожный парадокс в криптовалютной сфере. Даже когда блокчейны способствуют децентрализации и безопасности через код, платформы, поддерживающие повседневное использование, остаются уязвимыми перед вполне человеческими угрозами.
Пока централизованные биржи остаются входными воротами в криптовалюту для большинства пользователей и продолжают хранить конфиденциальные пользовательские данные, манипуляции со стороны инсайдеров останутся предпочтительным методом атаки для хакеров. Вызов для индустрии сейчас — развивать свои модели безопасности, чтобы соответствовать этой реальности, в то время как регулирующие органы взвешивают, как обеспечить соблюдение более строгих мер защиты на всем протяжении.
С риском репутационных повреждений, финансовой ответственности и усиленного регулятивного контроля, ставки на то, чтобы сделать это правильно, никогда не были выше.