一部のコンピュータセキュリティ専門家が予測していた通り、2024年上半期、新たなフィッシングのフロンティアは暗号通貨分野にあります。私たちは、GetResponseプラットフォームが破壊的なハッカー攻撃を受けた6月5日に、この証拠を見た。この攻撃の確認は、有名な暗号データアグリゲーターであるCoinGeckoからもたらされ、データ侵害と、その結果生じたサービス利用者190万人のデータ流出を公式に発表した。
フィッシングとは
フィッシングという用語は、オンライン上での悪質な行為について語るときに、最近最もよく使われる用語のひとつです。これは非常に頻繁に起こる詐欺です。さまざまな方法で、被害者を騙して個人データや財務データ、あるいはプライベートな領域へのアクセスコードを教えさせようとします。典型的には、信頼できる団体のふりをし、これらのクレデンシャルは身元調査や口座の維持に使われると説明する。この用語は、釣りを意味するフィッシングという言葉の変形である。しかし、詐欺師は食料を漁るのではなく、個人データを漁るのである。
データ漏洩
GetResponseによって漏洩し、釣り上げられたデータには、機密メールアカウント、ユーザーのユーザー名、IPアドレス、そして、サインアップ日、購読プラン、メール開封場所などの追加メタデータの長いリストが含まれます。CoinGeckoがプレスリリースで使用したのと同じ用語を使用すると、
「攻撃者がGetResponseの従業員のアカウントを侵害し、データ漏洩を引き起こしました。2024年6月6日、11.58 UTCに、GetResponseチームは、これがデータ侵害であることを確認しました」
CoinGeckoはすぐに、彼らのサービスを使用している人々のユーザー名とパスワードは安全であることを強調しました。
23,000通以上のフィッシングメールを送信
CoinGeckoがコンピュータのシールドで顧客のIDを保護できたという事実は、何も起こらなかったことを意味しない。実際のところ攻撃者は、それでも23,723通ものフィッシングメールを送ることに成功しました。これは、暗号通貨の世界では特に重要なことで、この場合、パスワードとアカウントを強制することに加えて、ウォレットキーの獲得が目的だからだ。この操作は、電子財布のセキュリティが高いため、かなり複雑ですが、アドレスポイズニングと呼ばれるものに置き換えられることがあります。
この不正行為では、ユーザーはよく練られた罠に誘い込まれます。最近交流のあった既知のアドレスを装い、資金やその他の利益、秘密を要求します。
受け取ったEメールの信憑性を確認したCoinGeckoのユーザーは、おそらくその不審な出所に気づいたことでしょう。作戦は印象的な規模であったが、受信されたメールは凡庸で一般的であった。
「攻撃者はCoinGeckoのGetResponseアカウントから1,916,596の連絡先をエクスポートし、23.723通のメールを、彼が乗っ取った別のユーザーのアカウント(alj.associates)から送信しました。"
フィッシングから身を守る方法
フィッシングの試みから身を守ることは、確かに不可能ではありません。ネットワーク上でデータを共有する前に、自分自身を守るために注意するだけで十分です。後者は可能性の海であるだけでなく、詐取しようとする者にとっては非常に怪しい海でもあります。最も重要な対策は、使用するすべての暗号プラットフォームで二要素認証(2FA)を有効にすることです。これはアクセスの難易度を指数関数的に高め、ほとんどすべてのケースで不可能にします。ログインのたびに携帯電話や個人デバイスからの認証が必要になり、個人間のやり取りができなくなるからです。これは見た目ほど複雑なことではありません。手紙の内容を注意深く読み、オリジナルでないロゴ、書式、スペル、文法に気をつけるだけです。
Web3の世界はチャンスに満ちていますが、それと同じくらいリスクもあります。SpazioCryptoはすべての読者に、取引所やウォレットの管理には常に細心の注意を払うようにと注意を促しています。実際、私たちはどのように巧妙に攻撃されるかわかりません。セキュリティ対策を軽視しないようにしましょう。
