Hai trong số các sàn giao dịch tiền điện tử lớn nhất thế giới, Binance và Kraken, đã đánh bại các cuộc tấn công kỹ thuật xã hội phối hợp nhằm xâm nhập vào các hệ thống nội bộ thông qua hối lộ nội bộ - một vector tấn công đã thành công trong việc vi phạm Coinbase gần đây.
Như nhấn mạnh những cố gắng thất bại, độ tinh vi ngày càng cao của tội phạm mạng nhắm vào các nền tảng tiền điện tử tập trung và sự mong manh của các khung an ninh phụ thuộc con người.
Theo các nguồn tin do Bloomberg trích dẫn, các kẻ tấn công đã liên lạc với nhân viên hỗ trợ khách hàng tại cả Binance và Kraken, đưa ra các khoản hối lộ đổi lấy quyền truy cập hệ thống và dữ liệu khách hàng nhạy cảm. Giao tiếp được thực hiện qua Telegram, nơi các đối tượng đe dọa cung cấp hướng dẫn và hứa hẹn thanh toán để đổi lấy quyền truy cập vào các bảng điều khiển nội bộ.
Không giống như sự cố tại Coinbase, dẫn đến vi phạm dữ liệu nghiêm trọng và gây trách nhiệm tiềm tàng lên đến 400 triệu đô la, các cuộc tấn công vào Binance và Kraken đã bị ngăn chặn trước khi bất kỳ dữ liệu người dùng nào bị tiết lộ. Các sự kiện này không chỉ thể hiện hiệu quả của các biện pháp bảo vệ kỹ thuật và chính sách mà còn cảnh báo nguy cơ ngày càng gia tăng về việc khai thác nội bộ trên toàn ngành tiền điện tử.
Mô hình tấn công phản ánh Sự cố Coinbase
Làn sóng tấn công mạng nội bộ này dường như phản ánh các chiến thuật được sử dụng trong vụ vi phạm gần đây tại Coinbase. Trong trường hợp đó, các kẻ xấu đã hối lộ thành công các nhân viên hỗ trợ khách hàng ngoại quốc - những người là nhà thầu hoặc nhân viên cấp thấp - và khai thác quyền truy cập nội bộ để truy cập dữ liệu danh tính khách hàng, bao gồm cả giấy tờ ID và địa chỉ cấp bởi chính phủ.
Vụ vi phạm đó dẫn đến một yêu cầu tống tiền 20 triệu đô la và được cho là ảnh hưởng đến hàng trăm ngàn người dùng, một số trong đó sau đó đã trở thành mục tiêu của các chiến dịch lừa đảo qua email và kế hoạch trộm danh tính. Coinbase đã sa thải các nhân viên liên quan và liên lạc với các cơ quan thực thi pháp luật Hoa Kỳ, nhưng hệ lụy vẫn đang tiếp diễn.
Binance và Kraken đã có thể phát hiện và vô hiệu hóa các mối đe dọa tương tự từ trước, cho thấy rằng các nhà điều hành sàn giao dịch đang bắt đầu thích ứng với mối đe dọa ngày càng gia tăng của kỹ thuật xã hội trong hoạt động hỗ trợ khách hàng tiền điện tử.
Telegram: Trung tâm Điều phối Các Lời đề nghị Hối lộ
Các kẻ tấn công đã sử dụng tài khoản Telegram để tiếp cận trực tiếp nhân viên của sàn giao dịch. Các tài khoản này chia sẻ những hướng dẫn chính xác về cách truy xuất và trích xuất dữ liệu khách hàng, né tránh theo dõi và nhận thanh toán bằng tiền điện tử.
Các chuyên gia an ninh cho biết Telegram ngày càng trở thành nền tảng phổ biến để điều phối hoạt động hối lộ, buôn bán dữ liệu và chủ yếu là hoạt động tống tiền trong ngành tiền điện tử. Các tính năng ẩn danh, lượng người dùng lớn và thiếu sự giám định là điều kiện lý tưởng để tội phạm điều phối, đặc biệt khi nhắm vào quyền truy cập nội bộ.
Điều khác biệt ở các cuộc tấn công này so với lừa đảo truyền thống là sự tập trung vào việc tương tác trực tiếp và thao tác con người. Thay vì lợi dụng những lỗ hổng phần mềm, các kẻ tấn công đặt cược vào mắt xích yếu của con người
- các nhà thầu nhận lương thấp, nhân viên hỗ trợ quá tải hoặc nhân viên cấp thấp với quyền truy cập vào hệ thống nhạy cảm.
Binance và Kraken Ghi nhận Tự động hóa Phòng thủ Và Hạn chế Quyền Truy cập
Tại Binance, hệ thống giám sát nội bộ, một số được điều khiển bởi máy học, được cho là đã gắn cờ các hình thức giao tiếp đáng ngờ, bao gồm các từ khóa liên quan đến hối lộ và các nỗ lực liên hệ qua Telegram bên ngoài. Các bộ lọc hội thoại dựa trên AI có thể chặn và cô lập các tương tác nguy hiểm trước khi xảy ra leo thang.
Hơn nữa, chính sách của Binance về việc hạn chế quyền truy cập vào dữ liệu khách hàng trừ khi được kích hoạt bởi liên hệ do người dùng khởi tạo đã giúp giới hạn bề mặt khai thác. Theo người trong công ty, các đặc vụ được nhắm mục tiêu thiếu quyền cần thiết để độc lập truy xuất thông tin nhạy cảm, điều này vô hiệu hóa chiến lược của kẻ tấn công.
Kraken cũng đã tận dụng các chính sách kiểm soát truy cập và giám sát nội bộ để ngăn chặn nỗ lực vi phạm. Mặc dù các chi tiết còn giới hạn, nguồn tin cho biết cả hai sàn giao dịch đã thực hiện các bước chủ động trong quý 4 năm 2024 để thắt chặt kiểm soát truy cập dữ liệu sau các cảnh báo toàn ngành về rủi ro nội bộ gia tăng.
Thất bại của Coinbase Làm Nổi bật Các Lỗ hổng Ngành
Vụ vi phạm Coinbase, tiết lộ đầu tháng này, đã đổ bóng lên các thực tiễn bảo mật của các sàn giao dịch tập trung. Nền tảng này hiện đối mặt với chi phí khắc phục và bồi thường tiềm năng lên tới 400 triệu đô la, cũng như sự giám sát chặt chẽ ngày càng tăng từ phía cơ quan quản lý về cách họ xử lý dữ liệu cá nhân.