Недавний взлом крупнейшей в мире биржи криптовалют Binance подчеркивает необходимость повышенной безопасности в криптовалюте.
В том, что Wired сообщил как о «крупномасштабном нарушении безопасности», хакеры украли не только 7 000 биткойнов - что эквивалентно более чем 40 миллионам долларов (56 миллионов долларов на момент написания этой статьи, всего через неделю), но также и некоторый пользовательский фактор коды аутентификации и токены API. »
Это всего лишь одна из многих ограблений криптовалюты на общую сумму 100 миллионов долларов, о которых CipherTrace сообщила в прошлом году.
Почему сложные хакеры нацелены на крипто-пространство? Потому что, очевидно, именно там деньги. Огромный тайник с горячим кошельком, разграбленный Бинансом, составлял всего около 2 процентов биржевых резервов. И, если это, по слухам, «Крипто-весна» к последней зиме, тогда, когда цены начинают резко расти, ожидайте, что ситуация ухудшится.
Для отрасли хорошо то, что Binance поступил правильно - они были прозрачными и не откладывали сообщение о краже, объявляя о ней в тот же день, когда ее обнаружили. «Хакеры использовали различные методы, включая фишинг, вирусы и другие атаки», - заявил генеральный директор Binance Чанпен Чжао в своем блоге 7 мая.
«Хакерам хватило терпения подождать и выполнить хорошо спланированные действия с помощью нескольких, казалось бы, независимых аккаунтов в самое подходящее время. Транзакция структурирована таким образом, что прошла наши существующие проверки безопасности ».
Кроме того, Чжао объявил, что средства клиентов не будут использоваться для покрытия убытков, так как Binance создал фонд самострахования в 2018 году, который накапливает 10 процентов всех торговых сборов в отдельном холодном кошельке .
Как произошла кража? В настоящее время мы изучаем эту атаку, но из того, что мы знаем, Бинанс имел текущее состояние искусства кибербезопасности. Злоумышленники, вероятно, использовали пароль, украденный при фишинг-атаке, или использовали комбинацию уязвимостей.
Как председатель Рабочей группы по борьбе с фишингом, организации, которая борется с eCrime и фишингом более 16 лет, я могу вам сказать, что весьма вероятно, что фишинг был вектором атаки.
Фишинг-фишинг (целевые атаки на ценных пользователей) и компрометация деловой электронной почты (BEC) становятся намного хуже. А фишеры бросают свои сети - и копья - в частности, в криптографические компании. Взлом Binance, возможно, был обманут служащим, чтобы ввести пароль с помощью умного уловки по электронной почте. Это может быть фишинг, а также вредоносные программы без файлов или APT. Это могло произойти из-за любого количества уязвимостей, обычно присутствующих на поверхности атаки такой большой глобальной сети ИТ.
Время утроить безопасность
Двухфакторная аутентификация (2FA) более не является достаточно сильной, а SMS является слабым вторым фактором. Как было подробно описано в отчете CipherTrace Q4 2018 Crypto AML, злоумышленники часто «переносят» телефонные номера для получения текстовых сообщений SMS, которые используются в ряде систем 2FA. Что, очевидно, означает, что такой подход небезопасен. Но, имея на телефоне приложение для аутентификации, вместо того, чтобы полагаться на коды текстовых сообщений SMS, компании защищены, даже если телефон сотрудника взломан или заменен на SIM-карту.
Так что же можно и нужно делать биржам для предотвращения краж? По нашему мнению, учитывая постоянно растущую изощренность и настойчивость плохих парней, на данный момент есть только одно жизнеспособное решение. Ну, на самом деле их три.
Ответ - трехфакторная аутентификация (3FA) - две вещи, которые у них есть, и одна вещь, которую они знают. Чтобы получить доступ к сети, сотрудники биржи должны использовать приложение аутентификации на своем телефоне, сертификат на своем компьютере для доступа к корпоративной VPN и пароль. Таким образом, если злоумышленники взломают пароль работника биржи или взломают его с помощью грубой силы, они все равно не получат доступ. Плюс, в отличие от паролей, сертификаты могут быть отозваны.
Злоумышленник может получить пароль и даже взломать одно из устройств пользователя, но он не получит все три фактора. И не ставя под угрозу все три фактора, они не попадают. Трехфакторный - это новый сильный авторитет. Может показаться, что это предложение обременительно для сотрудников, но наличие сертификата на компьютере не требует повседневных усилий.
Источник:
https://cryptoslate.com/three-ways-to-prevent-exchange-hacks-how-3fa-can-foil-cryptocurrency-exchange-robberies/