Crypto.com หนึ่งในแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในโลก ไม่ได้เปิดเผยการโจมตีความปลอดภัยที่กระทำโดยกลุ่ม Scattered Spider ตามการสืบสวนของ Bloomberg investigation. การโจมตีนี้เกี่ยวข้องกับกลวิธีทางวิศวกรรมสังคมที่ทำให้เกิดข้อกังวลใหม่เกี่ยวกับการปฏิบัติความโปร่งใสและการกำกับดูแลของอุตสาหกรรมสกุลเงินดิจิทัล
สิ่งที่ควรรู้:
- Scattered Spider ซึ่งเป็นกลุ่มที่ส่วนใหญ่ประกอบด้วยวัยรุ่น ประสบความสำเร็จในการเจาะ Crypto.com ผ่านทางการโจมตีการวิศวกรรมสังคมที่มุ่งเป้าไปที่ข้อมูลการเข้าสู่ระบบของพนักงาน
- การเปิดเผยต่อสาธารณะเกี่ยวกับเหตุการณ์นี้ยังไม่มี แม้ว่าเรื่องความโปร่งใสดังกล่าวจะมีความสำคัญต่อการปกป้องผู้ใช้
- การละเมิดนี้เน้นย้ำถึงปัญหาการโต้แย้งเกี่ยวกับข้อกำหนดในการรวบรวมข้อมูลของลูกค้าภายใต้ Know Your Customer และผลกระทบด้านความปลอดภัยของพวกเขา
การโจมตีทางวิศวกรรมสังคมมุ่งเป้าที่ข้อมูลการเข้าสู่ระบบของพนักงาน
ผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ IT เพื่อหลอกพนักงานของ Crypto.com ให้ละทิ้งข้อมูลการเข้าสู่ระบบของตน แหล่งข้อมูลที่มีความคุ้นเคยกับการสืบสวนนี้อธิบายการดำเนินการว่าเป็นวิธีการของ Scattered Spider กลุ่มนี้เชี่ยวชาญในการใช้เทคนิคทางจิตวิทยาในการบิดเบือนการรับรู้ของพนักงานมากกว่าที่จะใช้โค้ดเทคนิคที่ซับซ้อน
เมื่อเข้าถึงระบบภายในของบริษัทได้แล้ว กลุ่มแฮกเกอร์พยายามเพิ่มระดับสิทธิ์ในการเข้าถึงโดยมุ่งเป้าไปที่บัญชีของพนักงานระดับสูงเพื่อขยายวิธีการเข้าถึงโครงสร้างพื้นฐานของแพลตฟอร์ม
"การละเมิดส่งผลกระทบต่อสิ่งที่ Crypto.com มองว่าเป็น "จำนวนบุคคลเพียงไม่กี่คน""
ตัวแทนของ Crypto.com บอกกับ Bloomberg ว่าเงินทุนของลูกค้าอยู่ในความปลอดภัยตลอดช่วงเหตุการณ์นี้ แต่บริษัทก็ปฏิเสธที่จะให้รายละเอียดเพิ่มเติมเกี่ยวกับขอบเขตและเส้นเวลาในการโจมตี เจ้าหน้าที่ของแพลตฟอร์มยังไม่ได้ตอบสนองต่อคำขอคำชี้แจงเพิ่มเติมเกี่ยวกับการละเมิดความปลอดภัย
ผู้เชี่ยวชาญในอุตสาหกรรมวิพากษ์วิจารณ์การตัดสินใจไม่เปิดเผยข้อมูล
ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า การที่ Crypto.com ปฏิเสธการเปิดเผยข้อมูลของการถูกละเมิดจะทำให้ความไว้วางใจของผู้ใช้ถูกบั่นทอน การไม่เปิดเผยเหตุการณ์นี้ทำให้ลูกค้าไม่ทราบถึงความเสี่ยงที่อาจเกิดขึ้น และยังป้องกันผู้ใช้จากการใช้มาตรการป้องกันจากการโจมตีในอนาคต
การวิจารณ์นี้มีความสำคัญเป็นพิเศษเนื่องจากมีความล้มเหลวทางความปลอดภัยก่อนหน้านี้ในตลาดแลกเปลี่ยน เช่น Coinbase ที่มีการละเมิดและส่งผลให้สูญเสียมากกว่า $300 ล้านต่อปี ผู้สังเกตการณ์ในอุตสาหกรรมชี้ว่าเหตุการณ์ที่ไม่ได้รับการเปิดเผยสร้างความเสี่ยงต่อระบบในภาคสกุลเงินดิจิทัล
นักสืบที่เรียกว่า ZachXBT ได้กล่าวหา Crypto.com ว่าปกปิดการละเมิดอย่างจงใจ
เขาเน้นว่าเหตุการณ์นี้แสดงถึงรูปแบบการละเมิดที่ไม่ได้รับการเปิดเผยในแพลตฟอร์ม ข้อกล่าวหาของเขาสะท้อนความผิดหวังของวงการกับตลาดแลกเปลี่ยนที่ไม่ยอมเปิดเผยการละเมิดเพื่อปกป้องภาพลักษณ์ขององค์กร
กรอบการกำกับดูแลได้รับการเผชิญหน้าความสนใจใหม่
เหตุการณ์นี้ได้เพิ่มความเห็นเชิงวิจารณ์ต่อข้อกำหนด Know Your Customer ที่บังคับให้มีการรวบรวมข้อมูลเป็นข้อกำหนดทั่วไป นักวิจัยด้านความปลอดภัยที่ไม่เปิดเผยชื่อ Pcaversaccio ระบุว่าระบบ KYC สร้างเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ นักวิจัยตั้งข้อสังเกตว่ารหัสผ่านสามารถเปลี่ยนได้ง่าย แต่เอกสารยืนยันตัวตนไม่สามารถเปลี่ยนแปลงได้อย่างง่ายดาย
"คุณสามารถเปลี่ยนรหัสผ่านได้ง่าย แต่ ไม่ใช่ พาสปอร์ตและพวกเขารู้ดี" Pcaversaccio กล่าว "เราเป็นตัวประกันในแนวทางการเฝ้าระวังของพวกเขา"
มุมมองนี้สอดคล้องกับความคลางแคลงใจที่เพิ่มขึ้นเกี่ยวกับวิธีการกำกับดูแลปัจจุบันที่ใช้ในอุตสาหกรรมสกุลเงินดิจิทัล เมื่อต้นปีนี้ ซีอีโอของ Coinbase Brian Armstrong ได้วิพากษ์วิจารณ์กฎหมาย Bank Secrecy Act และกฎหมายต่อต้านการฟอกเงินที่มีอยู่ ณ ปัจจุบันว่าเป็นเรื่องล้าหลังและไม่มีประสิทธิภาพ
"เราไม่ต้องการรวบรวมข้อมูลนั้นและลูกค้าของเราก็ไม่ชอบ" Armstrong อธิบาย "เราถูกบังคับให้รวบรวมข้อมูลที่เราไม่ได้ตั้งใจจะทำ และมันไม่ส่งผลต่อการหยุดยั้งอาชญากรรมถ้าเราดูข้อมูลที่มีอยู่ในประเด็นนี้"
ทำความเข้าใจกับคำที่ใช้หลัก ๆ
การโจมตีทางวิศวกรรมสังคมพุ่งเป้าไปที่การจัดการทางจิตวิทยามากกว่าช่องโหว่ทางเทคนิคในการเจาะระบบความปลอดภัย ผู้โจมตีมักจะปลอมตัวเป็นบุคคลที่เชื่อถือได้เช่นพนักงาน IT เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลที่ละเอียดอ่อน เทคนิคเหล่านี้มีประสิทธิภาพสูงเพราะมุ่งเป้าภาพลักษณ์จิตวิทยามากกว่าจุดอ่อนของซอฟต์แวร์
ข้อกำหนด KYC บังคับให้สถาบันการเงินต้องตรวจสอบตัวตนของลูกค้าผ่านการประเมินและเอกสารที่ครอบคลุม ข้อกำหนดเหล่านี้มุ่งหมายที่จะป้องกันการฟอกเงินและการให้เงินสนับสนุนการก่อการร้ายโดยจัดทำบันทึกที่ละเอียดของผู้ถือบัญชี อย่างไรก็ตาม นักวิจารณ์ระบุว่าที่เก็บข้อมูลที่รวมศูนย์ทำให้เกิดความเสี่ยงด้านความปลอดภัยที่สูงกว่าประโยชน์ในการป้องกันอาชญากรรม
Scattered Spider เป็นตัวแทนขององค์กรอาชญากรรมไซเบอร์รุ่นใหม่ที่ให้ความสำคัญกับการควบคุมจิตวิทยามากกว่าความซับซ้อนทางเทคนิค ความสำเร็จของกลุ่มแสดงให้เห็นว่าสายปกติคนถือเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัยของบริษัท
สรุป
เหตุการณ์ Crypto.com นี้สะท้อนถึงความท้าทายที่ต่อเนื่องในด้านความปลอดภัยในตลาดแลกเปลี่ยนสกุลเงินดิจิทัลและการปฏิบัติตามข้อกำหนดด้านการกำกับดูแล ความตึงเครียดระหว่างข้อกำหนดที่ต้องการความโปร่งใสและการจัดการภาพลักษณ์องค์กรยังคงกำหนดแนวทางปฏิบัติในอุตสาหกรรมเกี่ยวกับการเปิดเผยเหตุการณ์ที่ละเมิดความปลอดภัย