Dünyanın en büyük kripto para borsalarından ikisi olan Binance ve Kraken'in, içeriden rüşvet yoluyla iç sistemleri ele geçirmeyi hedefleyen koordineli sosyal mühendislik saldırılarını savuşturduğu bildirildi. Bu saldırı vektörü Coinbase'i ihlal etmekte başarıya ulaşmıştı.
Başarısız girişimler, merkezi kripto platformlarını hedefleyen siber suçluların artan sofistikasyonunu ve insana bağımlı güvenlik çerçevelerinin kırılganlığını ortaya koyuyor.
Bloomberg tarafından aktarılan kaynaklara göre saldırganlar, hem Binance hem de Kraken'de müşteri destek personeline sistem erişimi ve hassas müşteri verileri karşılığında rüşvet teklif etti. İletişimler Telegram üzerinden yapıldı ve tehdit aktörleri iç panellere erişim karşılığında talimatlar ve ödeme vaatlerinde bulundu.
Coinbase olayının aksine, bu saldırılarda herhangi bir kullanıcı verisi açığa çıkmadan önlendi. Olaylar, hem teknik ve politika bazlı önlemlerin etkinliğini hem de kripto sektöründe içeriden kötüye kullanma riskinin arttığını gösteriyor.
Saldırı Deseni, Coinbase Olayını Yansıtıyor
Son dalga içeriden odaklı siber saldırılar, Coinbase'te kullanılan taktikleri yansıtıyor gibi görünüyor. Bu durumda, kötü niyetli aktörler yurt dışındaki müşteri destek temsilcilerine - genellikle alt seviye çalışanlar veya yükleniciler - başarıyla rüşvet verdi ve iç izinlerden yararlanarak müşteri kimlik verilerine ulaştı, bunlar arasında devlet tarafından verilmiş kimlikler ve adresler de vardı.
Bu ihlal, 20 milyon dolarlık bir fidye talebine yol açtı ve bildirilene göre yüz binlerce kullanıcıyı etkiledi. Bunlardan bazıları sonradan kimlik avı kampanyalarında ve kimlik hırsızlığı planlarında hedef alındı. Coinbase, olaya karıştığı tespit edilen çalışanları işten çıkardı ve ABD kolluk kuvvetleriyle temasa geçti ancak etkileri hala devam ediyor.
Binance ve Kraken, benzer tehditleri önceden tespit ederek etkisiz hale getirdi. Bu durum, borsa operatörlerinin kripto müşteri destek işlemlerinde sosyal mühendislik tehditlerine karşı uyum sağlamaya başladığını gösteriyor.
Telegram: Rüşvet Teklifleri için Koordinasyon Merkezi
Saldırganlar, borsa personeline doğrudan ulaşmak için Telegram hesaplarını kullandı. Bu hesaplar, müşteri verilerini nasıl elde edip dışarı çıkarabilecekleri, izlemenin nasıl aşılacağı ve kripto para biriminde ödemenin nasıl kabul edileceği konusunda kesin talimatlar paylaştı.
Güvenlik uzmanlarına göre Telegram, kriptoda rüşvet, veri aracılığı ve fidye yazılımı faaliyetlerinin koordine edilmesi için giderek daha fazla tercih edilen platform haline geldi. Anonimlik özellikleri, geniş kullanıcı tabanı ve moderasyon eksikliği, özellikle içeriden erişime yönelik saldırılarda suç koordinasyonu için ideal kılıyor.
Bu saldırıları geleneksel kimlik avından ayıran şey, doğrudan insan etkileşimi ve manipülasyonuna odaklanmalarıdır. Yazılım açıklarını istismar etmektense, düşük ücretli yükleniciler, bunalmış destek personeli veya hassas sistemlere erişimi olan genç çalışanlardaki insan zayıf noktalarına yöneliyorlar.
Binance ve Kraken Otomatik Savunmalar ve Erişim Sınırlarını Övüyor
Binance'de, iç izleme sistemleri - bazıları makine öğrenmesiyle destekleniyor - rüşvetle ilgili anahtar kelimeler ve dış Telegram iletişim girişimlerini içeren şüpheli iletişim modellerini bildiriyor. AI tabanlı konuşma filtreleri, olayın büyümesine neden olacak riskli etkileşimleri önceden önleyip izole edebildi.
Ayrıca, kullanıcı tarafından başlatılan iletişim dışında müşteri verilerine erişimi sınırlayan Binance politikası, istismar için yüzey alanını sınırlamaya yardımcı oldu. Şirket içinden bir kaynağa göre, hedef alınan destek temsilcilerinin, bağımsız olarak hassas bilgileri almalarını sağlayacak izinlere sahip olmamaları, saldırganların stratejilerini etkisiz hale getirdi.
Kraken de erişim kontrol politikalarını ve iç izlemesini kullanarak ihlal girişimini durdurdu. Ayrıntılar sınırlı kalsa da, her iki borsanın da 2024 yılının dördüncü çeyreğinde endüstri çapında artan içeriden risk uyarıları sonrasında veri erişim kontrollerini sıkılaştırıcı adımlar attıkları söylendi.
Coinbase'in Başarısızlığı, Sektör Zayıflıklarını Ortaya Çıkarıyor
Bu ayın başlarında duyurulan Coinbase ihlali, merkezi borsa güvenlik uygulamaları üzerine bir gölge düşürdü. Platform, şimdi 400 milyon dolara kadar potansiyel iyileştirme ve geri ödeme maliyetleri yanı sıra kişisel verilerin yönetimi konusundaki artan düzenleyici incelemeler riskini taşıyor.
Coinbase'in, Aralık 2024 gibi erken bir tarihte destek masası hedefleyen koordineli bir kampanya konusunda rakip platformlardan uyarılar aldığı bildirildi. Ocak ayında, dahili sistemler olağandışı destek etkinliğini izliyordu. Buna rağmen, saldırı önemli bir zarar verilene kadar kontrol altına alınamadı.
Bu gecikme, içerideki iletişim boşlukları ve Coinbase’in güvenlik gözetiminin etkinliği konusunda endişeleri artırdı. Özellikle de ABD onaylı spot Bitcoin ve Ethereum ETF'lerinin çoğunun koruyucusu olarak onun büyüyen kurumsal rolü göz önüne alındığında.
Coinbase, 11 spot Bitcoin ETF'sinden 8'i ve 9 spot Ethereum ETF'sinden 8'i için velayet hizmeti sağlarken, eleştirmenler şirketin ABD kripto altyapısındaki tek nokta hatası olduğunu ileri sürüyor - bu da son ihlaliyle daha da belirginleşen bir endişe.
Daha Geniş bir Sektör Eğilimi: İçeriden Tehditler Yükselişte
Coinbase, Binance ve Kraken'deki olaylar, siber güvenlikte daha geniş bir eğilimi yansıtıyor: Verilerin tehlikeye atılması için en üst vektör olarak içeriden tehditlerin yükselişi. Borsalar hızla ölçeklenip destek ve operasyon parçalarını dışa aktardıkça, duvarları aşmak yerine insanları rüşvetle yönlendiren saldırılara daha duyarlı hale geliyorlar.
Bu, kriptoya özgü bir durum değil. Geleneksel finans ve Büyük Teknoloji'de içeriden gelen tehditler uzun zamandır bir endişe kaynağı olmuştur. Ancak kriptonun merkeziyetsiz anlayışı, güvenlik beklentileriyle operasyonel gerçeklikler arasında uyumsuzluklar yaratır.
Borsalar, velayet, anonimlik ve güvenlik vaat ediyor - ancak sistemlere gerçek zamanlı erişimi olan insan takımlarına güvenerek doğasında var olan bir risk getiriyorlar. Coinbase sızıntısı özellikle zarar vericiydi çünkü geri döndürülemez veya şifreler ya da özel anahtarlar gibi yeniden verilemez KYC (Tanıdığını Bil) verilerini içeriyordu, bunlara adresler ve devlet kimlikleri de dahildi.
Hukuki ve Düzenleyici Sonuçlar
Binance ve Kraken en kötü senaryoyu engellemiş olsa da, düzenleyiciler bu olayları kripto müşteri hizmeti çerçevelerinde yetersiz operasyonel kontrollerin daha fazla kanıtı olarak görecektir. ABD kurumları daha önce sektördeki verilerin gizliliği, kimlik yönetimi ve müşteri koruma kuralları için daha sıkı kurallar talep etmiştir.
SEC, CFTC ve FinCEN kripto ile ilgili veri yönetimi için yaptırım kapsamını tartışırken, bu içeriden gelen tehditler bir dönüm noktası olabilir. FIT21 yasa tasarısı ve Kongre'de gözden geçirilen diğer kripto piyasa yapısı yasaları, borsalar için daha güçlü iç güvenlik ve hesap verebilirlik mandatları içerebilir.
Tutulan varlıkların ölçeği ve merkezi platformlar üzerinden KYC toplanan veri miktarı göz önüne alındığında, düzenleyiciler borsaya olan "güven"in en zayıf halka haline geldiğinde neler olacağı konusunda giderek daha endişe duyuyorlar.
İçeriden Gelen Sosyal Mühendisliğe Karşı Korunmak
Uzmanlar, sosyal mühendisliğe karşı en etkili savunmaların sadece teknik değil - prosedürel ve kültürel olduğunu söylüyorlar. Platformlar, çalışan farkındalığını artırmak, yüklenicilerin vetting'ini iyileştirmek, ayrıcalıklı erişimi azaltmak ve olağandışı destek davranışları hakkında daha agresif uyarı sistemleri uygulamak için yatırım yapmalıdır.
Son olaylardan ortaya çıkan bazı en iyi uygulamalar şunları içerir:
- Sıfır Güven erişim mimarisi: İçerideki aktörlerin tehlikeye girebileceği varsayımıyla "en az ayrıcalık" seviyelerine erişimi sınırlamak.
- Gerçek zamanlı AI tabanlı izleme: Rüşvet, platform dışı temas veya kullanıcı davranışıyla uyumsuz veri taleplerine yönelik dili tanıma.
- İçeriden ihbar kanalları: Destek personelini şüpheli etkileşimleri bildirmeye teşvik etme.
- Zincir üstü denetim izleri: Şeffaflık sağlamak için veri taleplerinde akıllı sözleşmeler ve otomatik kayıtlar kullanımı.
- Platformlar arası istihbarat paylaşımı: Saldırı trendleri ve denenen vektörler konusunda diğer borsalarla koordinasyon sağlama.
Bu tür önlemler, Coinbase'in ihlalini daha erken kontrol altına almasına yardımcı olabilir - veya tamamen engelleyebilirdi.
Son düşünceler
Binance ve Kraken'deki başarısız rüşvet girişimleri ve Coinbase'deki başarılı ihlal, kripto sektöründe endişe verici bir paradoksu gözler önüne seriyor. Blok zincirleri merkeziyetsizlik ve kod yoluyla güvenlik vaat ederken, günlük kullanımı destekleyen platformlar çok insani tehditlere açık kalır.
Çoğu kullanıcı için merkezi borsalar kripto geçiş köprüsü olarak kaldıkça - ve hassas kullanıcı verilerini saklamaya devam ettikçe - içeriden manipülasyon, hackerlar için tercih edilen bir saldırı yöntemi olarak kalacaktır. Sektörün şimdi bu gerçekliği yansıtacak güvenlik modelleri geliştirmesi gerekirken, düzenleyiciler daha kapsamlı korumaları nasıl uygulayacaklarını değerlendiriyorlar.
İtibar zararı, mali yükümlülük ve düzenleyici incelemeler tüm risk altında olduğundan, bunu doğru yapmanın önemi hiç bu kadar yüksek olmamıştı.