Tio år av cybersäkerhet: En phishingattack som nästan lyckades

Introduktion

Originalförfattare: Christoper Rosa
Originalöversättning: AididiaoJP, Foresight News

Under helgen bröt nyheten att en massiv datamängd med 16 miljarder användaridentiteter, inklusive både tidigare dataintrång och nyligen stulna inloggningsuppgifter, började cirkulera online. Det är oklart vem som uppdaterade datamängden och publicerade den igen. Medan mycket av databasen är en återhashning av tidigare intrång, är det oroande att den uppdaterades igen. Datamängden anses vara en av de största enskilda samlingarna av komprometterade konton någonsin. Hackare använder dessa data för att genomföra olika attacker, och jag har blivit ett av deras mål.

Phishingattacken

Phishingattacken mot mina personliga enheter och konton den 19 juni var den mest sofistikerade jag någonsin har stött på under min decennielånga karriär inom cybersäkerhet. Angriparna skapade först illusionen av att mina konton attackerades på flera plattformar, och poserade sedan som anställda från Coinbase och erbjöd sig att hjälpa till. De kombinerade klassiska sociala ingenjörstaktiker med koordinerade metoder över textmeddelanden, telefonsamtal och falska e-postmeddelanden, allt designat för att skapa en falsk känsla av brådska, trovärdighet och skala.

Attackprocessen

Räckvidden och auktoriteten av denna falska attack var nyckeln till dess bedrägliga natur. Nedan kommer jag att detaljera attackprocessen, analysera de röda flaggor jag märkte under processen och de skyddsåtgärder jag vidtog. Samtidigt kommer jag att dela viktiga lärdomar och praktiska förslag för att hjälpa kryptoinvesterare att hålla sig säkra i en ständigt eskalerande hotmiljö.

Historiska och nyligen läckta data

Historiska data och nyligen läckta data kan användas av hackare för att genomföra högst riktade flerkanalsattacker. Detta bekräftar återigen vikten av lager av säkerhetsskydd, tydliga kommunikationsmekanismer för användare och strategier för realtidsrespons. Både institutioner och enskilda användare kan få praktiska verktyg från detta fall, inklusive verifieringsprotokoll, vanor för domännamnsidentifiering och responssteg, som kan hjälpa till att förhindra att tillfällig vårdslöshet förvandlas till stora säkerhetsbrister.

Angreppets början

Attacken började runt 15:15 ET på torsdag med ett anonymt textmeddelande som sa att någon försökte lura mobiloperatörer att ge mitt telefonnummer till någon annan, en taktik känd som SIM-swapping. Observera att detta meddelande inte kom från ett SMS-nummer, utan ett vanligt 10-siffrigt telefonnummer. Legitima företag använder kortkoder för att skicka SMS-meddelanden. Om du får ett textmeddelande från ett okänt standardlängdsnummer som påstår sig vara från ett företag, är det mest troligt en bluff eller phishingförsök.

Falska meddelanden och verifieringskoder

Meddelandena innehöll också motsägelser: Det första textmeddelandet indikerade att intrånget hade sitt ursprung i San Francisco Bay Area, medan ett efterföljande meddelande sa att det inträffade i Amsterdam. SIM-swapping är extremt farligt om det lyckas, eftersom angripare kan få engångsverifieringskoder som de flesta företag använder för att återställa lösenord eller få tillgång till konton. Men detta var inte en verklig SIM-swap, och hackarna lade grunden för en mer sofistikerad bluff.

Angriparens taktik

Attacken eskalerade sedan, och jag började få engångsverifieringskoder som påstods komma från Venmo och PayPal, skickade via SMS och WhatsApp. Detta fick mig att tro att någon försökte logga in på mina konton på olika finansiella plattformar. Till skillnad från misstänkta SMS-meddelanden från operatörer kom dessa verifieringskoder från kortkoder som såg legitima ut. Ungefär fem minuter efter att jag fått textmeddelandet fick jag ett samtal från ett kaliforniskt nummer. Den som kallade sig Mason talade med en ren amerikansk accent och påstod sig vara från Coinbases utredningsteam.

Viktiga lärdomar och skyddsåtgärder

Jag har sammanfattat följande farosignaler och skyddsförslag, i hopp om att hjälpa kryptoinvesterare att säkerställa säkerheten för sina medel i den nuvarande nätverksmiljön:

Koordinerade falska larm för att skapa förvirring och brådska.
Blanda kortkoder med vanliga telefonnummer.
Begärningar att agera genom oofficiella eller okända domännamn.
Ouppmanade samtal och uppföljningskommunikationer.
Ouppmanade nödsituationer och konsekvensvarningar.
Begäran att kringgå officiella kanaler.
Obevisade ärendenummer eller supportbiljetter.
Blanda sann och falsk information.
Använd verkliga företagsnamn i alternativa förslag.
Överdrivenhet utan verifiering.
Aktivera transaktionsnivåverifiering på börser.
Kontakta alltid tjänsteleverantörer genom legitima, verifierade kanaler.
Börssupport kommer aldrig att be dig att flytta, få tillgång till eller skydda dina medel.
Överväg att använda en multisignaturplånbok eller kall lagringslösning.
Bokmärk officiella webbplatser och undvik att klicka på länkar från oombedda meddelanden.
Använd en lösenordshanterare för att identifiera misstänkta webbplatser.
Granska regelbundet länkade appar, API-nycklar och tredjepartsintegrationer.
Rapportera alla misstänkta aktiviteter till tjänsteleverantörens officiella supportteam.

Avslutning

För finansiella institutioner, IT-säkerhetsteam och chefer belyser attacken hur historiska data, när de återanvänds och kombineras med realtids social ingenjörskonst, kan möjliggöra för hackare att kringgå även de mest sofistikerade säkerhetsförsvaren. Hotaktörer förlitar sig inte längre enbart på bruteforce-attacker, utan genomför istället koordinerade tvärkanalsstrategier för att vinna förtroende och lura användare genom att efterlikna legitima arbetsflöden. Vi måste inte bara skydda system- och nätverkssäkerhet, utan också identifiera hot och vidta åtgärder för att skydda oss själva.

Relaterade inlägg

Senaste från Blog

Globala börsnoterade företag investerade netto $863 miljoner i Bitcoin förra veckan, Strategy ökade sina innehav i 13 veckor i rad, och GameStop utfärdade ytterligare $450 miljoner i konvertibla obligationer

Bitcoin Inflöden till Globala Företag Enligt data från SoSoValue, per den 30 juni 2025, var det totala veckovisa nettoinflödet av Bitcoin till globala börsnoterade företag (exklusive gruvföretag) förra veckan $863 miljoner. Strategiska

Chainlink lanserar efterlevnadsverktyg för att låsa upp 100 biljoner dollar i institutionellt kapital

Chainlink lanserar nytt efterlevnadsverktyg Chainlink, ett decentraliserat blockchain-orakelnätverk för kommunikation mellan kedjor, har lanserat ett efterlevnadsverktyg som syftar till att låsa upp över 100 biljoner dollar i institutionellt investeringskapital för kryptovalutaområdet. Det

Legendarisk Bitcoiner Avfärdar Papper Bitcoin och Utlöser Diskussion om Fenomenet

Diskussion om Papper Bitcoin Adam Back tog till sociala medier för att avfärda påståenden om papper bitcoin och hävdade att stora institutioner tar emot sina köp genom förvaringsföretag. En diskussion uppstod där

Granskning av återförsörjningsincident: Hackare på fri fot, användare tvingas fylla hål, säkerhetsincident förvandlas till rasdiskrimineringsskandal

Hackerattack mot Resupply Den 26 juni rapporterades att wstUSR-marknaden under det decentraliserade stablecoin-protokollet Resupply hade blivit hackad, vilket resulterade i att cirka 9,5 miljoner USD i tillgångar överfördes. I kryptovärlden är sådana