Naruszenia danych: Przypadek kampanii kryptowalutowej

12 sierpnia, 2024 Maciek Rataj

Naruszenia danych stały się jednym z najpoważniejszych zagrożeń dla organizacji na całym świecie, a ich liczba rośnie z każdym rokiem. O kradzieży danych mówimy, gdy nieupoważnione osoby uzyskują dostęp do wrażliwych, chronionych lub poufnych informacji, takich jak dane osobowe, dokumenty finansowe, czy własność intelektualna. Tego rodzaju incydenty wykraczają jednak daleko poza bezpośrednią utratę danych, niosąc poważne konsekwencje dla bezpieczeństwa, reputacji i stabilności finansowej osób oraz organizacji.

Cyberprzestępcy wykorzystują skradzione dane w coraz bardziej zaawansowanych formach oszustw, takich jak vishing i spear phishing, polegających na podszywaniu się pod inne osoby lub przedstawicieli władz. Przykładem takiej działalności jest incydent, który od stycznia 2024 roku obserwowała grupa Cisco Talos. Kampania ta koncentrowała się na kradzieży kryptowalut, łącząc techniki wyłudzania informacji i ataki socjotechniczne.

Skradzione dane jako narzędzie cyberprzestępców

W kampanii obserwowanej przez Cisco Talos, oszuści podszywali się pod funkcjonariuszy Cypryjskiej Komisji Papierów Wartościowych i Giełd (CySEC), aby zbudować wiarygodność swojej operacji. Przestępcy wykorzystywali dane skradzione z platformy handlowej Opteck, oferującej rozwiązania w zakresie handlu opcjami binarnymi. W 2017 roku baza danych Opteck została skradziona i sprzedana na forach darknetu. W tym samym roku CySEC zawiesiła licencję Opteck z powodu niezgodności z prawem. Oszuści, korzystając ze skradzionych danych, stworzyli iluzję autentyczności swojej kampanii, w której informowali ofiary, że ich inwestycje w kryptowaluty mogły zostać niewłaściwie wykorzystane.

Mechanizm działania oszustów polegał na nawiązaniu kontaktu telefonicznego z ofiarą, podczas którego przestępcy przedstawiali się jako funkcjonariusze CySEC i oferowali pomoc w odzyskaniu skradzionego kapitału. Aby zwiększyć wiarygodność, wysyłali e-maile podpisane nazwiskami prawdziwych funkcjonariuszy CySEC, po czym prosili o przesłanie wyciągu bankowego w ramach weryfikacji. Następnie ofiary otrzymywały instrukcje dotyczące kolejnych etapów zwrotu środków.

Podczas rozmowy z ofiarą, oszust tworzył portfel kryptowalutowy na platformie Coinbase i wysyłał identyfikator portfela, obiecując przelanie 816 USDT jako aktywacyjnej kwoty portfela. W przypadku popełnienia błędu przez ofiarę, przestępcy żądali przekazania określonej ilości kryptowaluty ETH na inny portfel kryptowalutowy należący do oszusta, nazywany „portfelem AML”. Kolejny etap polegał na podszywaniu się pod przedstawiciela Coinbase, który sugerował ofierze, aby zapłaciła 10% zwrotu jako opłatę ubezpieczeniową. W rzeczywistości środki te trafiały bezpośrednio na konta oszustów, którzy dodatkowo domagali się kolejnych płatności, co prowadziło do dalszej kradzieży kryptowalut.

Sukces kampanii przestępczej

Kampania była wyjątkowo skuteczna, o czym świadczy liczba i wartość przeprowadzonych transakcji. Ekspertom Cisco Talos udało się zidentyfikować cztery adresy portfeli Ethereum, które były używane do kradzieży kryptowalut. Na tych portfelach zgromadzono kryptowaluty o wartości ponad 100 tysięcy dolarów. Oszuści korzystali także z portfeli wielołańcuchowych, co pozwalało na rozdzielanie skradzionych aktywów między różne sieci blockchain, utrudniając śledzenie i identyfikację przestępców.

Domeny wykorzystywane w kampanii były starannie zaprojektowane, aby przypominały prawdziwą stronę CySEC. Konfigurowano je w sposób, który budował wrażenie legalności, wykorzystując narzędzia Microsoftu do wysyłania fałszywych e-maili, co pozwalało unikać wykrycia. Rekordy serwera nazw domen phishingowych wskazywały na serwery należące do firmy njal.la, oferującej usługi „privacy as a service”, a rekordy wymiany poczty były skonfigurowane przy użyciu serwerów pocztowych Microsoftu. Wszystkie te działania miały na celu wzmocnienie autentyczności wiadomości phishingowych.

Świadomość zagrożeń podstawą skutecznego cyberbezpieczeństwa

Chetan Raghuprasad, analityk Cisco Talos, podkreśla, że „czynnik ludzki jest postrzegany przez cyberprzestępców jako łatwy cel, który można wykorzystać za pomocą różnych technik inżynierii społecznej”. Stosowanie skradzionych danych jako narzędzia manipulacji ułatwia hakerom prowadzenie kampanii oszustw, co prowadzi do znacznych szkód finansowych, reputacyjnych i psychologicznych zarówno dla jednostek, jak i organizacji.

Aby skutecznie przeciwdziałać takim zagrożeniom, kluczowe jest budowanie świadomości zagrożeń w społeczeństwie. Edukacja na temat potencjalnych niebezpieczeństw związanych z naruszeniami danych i kampaniami oszustw może znacząco zmniejszyć ryzyko, umożliwiając ochronę zarówno indywidualnych użytkowników, jak i całych organizacji.