При попытке восстановить доступ к вашей учетной записи Kraken вас могут попросить присоединиться к видеозвонку агенту службы поддержки, чтобы доказать, что вы на самом деле тот, кем вы себя называете.
В прошлом месяце централизованная телефонная станция сообщила, что поймала кого-то в резиновой маске в стиле Хэллоуина, пытавшегося обмануть работника на другой стороне звонка, но это не сработало.
В ходе первого раунда проверок злоумышленник выдвинул ряд тревожных сигналов, например, не смог назвать активы, хранящиеся на счете. Эти флаги заставили агента, работающего над этим делом, потребовать видеозвонок для предоставления доступа к учетной записи. Во время разговора работник Kraken задал еще несколько вопросов и проверил удостоверение личности человека.
Злоумышленник провалил этот этап, причем весьма драматично.
«Наш агент сказал: «Это абсолютно смешно. Это резиновая маска, которую носит этот парень», — рассказал Decrypt директор службы безопасности Kraken Ник Перкоко.
По словам Перкоко, маска даже не была похожа на человека, за которого себя выдавал нападавший. Жертвой оказался мужчина европеоидной расы около 50 лет, поэтому Перкоко показалось, что нападавший просто схватил маску, которая отдаленно соответствовала описанию.
И это не первый раз, когда кто-то маскируется, пытаясь обмануть Кракена.
«[We] Время от времени вижу вещи, где люди надевают искусственные усы», — рассказал он Decrypt. «Они показывают [ID] и это выглядит близко, потому что они носят одинаковые очки, усы и светлые волосы. Мы видим это время от времени. Они никогда не проходят».
«Но это первый раз, — добавил он, — когда кто-то пошел в магазин костюмов за маской».
Что еще хуже, у злоумышленника не было даже достоверного удостоверения личности. Перкоко объяснил, что оно было «явно» отфотошоплено и напечатано на картоне, хотя и с правильной информацией.
Хотя это не была изощренная атака, она подчеркивает, что даже небрежные мошенники потенциально могут получить доступ к частной информации обычных людей. Перкоко полагает, что даже при такой неотшлифованной попытке злоумышленники смогут добиться успеха.
«Я думаю, что это должно [work]», — сказал он Decrypt. «Я думаю, что люди, носящие маскировку, люди, которые проникают в другое место и получают копию вашего государственного удостоверения личности, а затем распечатывают его на глянцевой бумаге, держа его… для некоторых бирж это, вероятно, работает».
Он заявил, что некоторые биржи не уделяют такого внимания деталям, которого требует Kraken от своей команды. Percoco особо указывает на компании, которые передают свою поддержку на аутсорсинг, утверждая, что это с большей вероятностью приведет к ошибкам.
Если он прав, то это означает, что те, кто использует централизованные биржи, не должны всегда полагаться на компанию в борьбе с злоумышленниками. По словам Перкоко, чтобы защитить себя, пользователи должны внедрить двухфакторную аутентификацию «везде» — от вашей электронной почты и далеко за ее пределами — чтобы любой ценой предотвратить получение злоумышленниками какой-либо личной информации.
Даже при использовании таких методов защиты пользователь все равно может попасться на фишинговые атаки. Для обеспечения высшего уровня безопасности он рекомендует использовать FIDO2 и ключи доступа — аппаратные ключи, которые могут превратить ваш телефон или ноутбук в пароль для учетной записи.
«Ключи доступа криптографически привязаны к сайтам и приложениям, с которыми вы их используете, — сказал он, — поэтому вас нельзя обмануть, заставив думать, что вы входите в Kraken».
Ежедневный информационный бюллетень
Начните каждый день с главных новостей прямо сейчас, а также с оригинальных статей, подкастов, видеороликов и многого другого.