2FA Dilewati dalam Perampokan Crypto.com senilai $34.6M: Apa yang Dapat Kita Pelajari

Kamis pagi, Crypto.com mengakui bahwa mereka telah kehilangan uang tunai senilai $34,65 juta, Bitcoin dan Ethereum setelah digeledah dalam serangan yang menyelipkan transaksi gemuk melewati otentikasi dua faktor (2FA).

Pengguna telah mengeluh selama akhir pekan bahwa akun mereka telah telah dikuras: pencurian yang awalnya ditolak oleh pertukaran cryptocurrency. Pada hari Minggu, Crypto.com menulis di Twitter bahwa “sejumlah kecil pengguna melaporkan aktivitas mencurigakan di akun mereka,” tetapi “semua dana aman.”

Pada hari Senin, CEO perusahaan, Kris Marszalek, mengulangi dalam sebuah tweet bahwa “tidak ada dana pelanggan yang hilang.”
Kami memiliki sejumlah kecil pengguna yang melaporkan aktivitas mencurigakan di akun mereka.

Kami akan segera menghentikan penarikan, karena tim kami sedang menyelidikinya. Semua dana aman.

— Crypto.com (@cryptocom) 17 Januari 2022

Sekarang, Crypto.com telah mengakui bahwa ya, jumlah total kerugian lebih dari $300 juta – jauh lebih banyak dari yang diperkirakan semula – tetapi semua pelanggan telah diganti.

Perusahaan juga mengatakan bahwa perampok melakukannya dengan meniup melewati sistem 2FA bursa.

Meskipun pelanggan telah melaporkan kerugian selama akhir pekan, pernyataan Kamis Crypto.com mengatakan bahwa pencurian terjadi pada hari Senin sekitar pukul 12:46 am UTC.

Saat itulah sistem pemantauan risiko bursa menangkap transaksi tidak sah yang keluar dari 483 akun dan disetujui tanpa otentikasi 2FA pengguna. Perusahaan tidak segera menanggapi permintaan Threatpost untuk klarifikasi pada timeline atau pembaruan penyelidikannya.

Crypto.com segera menangguhkan penarikan di platform saat diselidiki. Pertukaran sepenuhnya memulihkan akun yang terpengaruh, mencabut semua token 2FA dan menambahkan tindakan pengerasan keamanan tambahan, mengharuskan semua pelanggan untuk masuk kembali dan mengatur token 2FA mereka.

Penarikan ditangguhkan selama sekitar 14 jam, dan penarikan dilanjutkan pada hari Selasa pukul 5:46 PM UTC.

Sebelum menutup penarikan, Crypto.com kehilangan 836,26 ETH dan 443,93 BTC, yang setara dengan masing-masing sekitar $15,54 juta dan $19,04 juta, pada Kamis sore. Pertukaran tersebut melaporkan bahwa mereka juga kehilangan mata uang lain senilai $66.200.

Pada hari Rabu, Marszalek telah mengakui pencurian itu dalam sebuah wawancara online dengan Bloomberg, membenarkan bahwa sekitar 400 akun pengguna memang dikompromikan dan sebagai akibatnya dana terkuras. Pada saat itu, Marszalek tidak memberikan perincian tentang bagaimana tepatnya, penyerang melakukan pelanggaran.

Dia meremehkan nilai dana yang hilang, dengan mengatakan bahwa “Kita harus ingat bahwa, mengingat skala bisnis, materi ini tidak khususnya materi,” dan menambahkan bahwa “dana pelanggan tidak pernah berisiko.”
JUST IN: Kris Marszalek dari CEO @cryptocom membahas peretasan situs baru-baru ini dengan @emilychangtv dari @BloombergTV. “Dana pelanggan tidak pernah berisiko.” #TheYearAhead pic.twitter.com/YlCtGO60t5

— Bloomberg Live (@BloombergLive) 19 Januari 2022

Sampah yang 2FA

Crypto.com katakan bahwa itu membuang 2FA-nya “dengan sangat hati-hati” dan telah bermigrasi ke “infrastruktur 2FA yang benar-benar baru.” Token 2FA untuk semua pengguna di seluruh dunia kemudian dicabut untuk memastikan infrastruktur baru berlaku, ”kata bursa. “Kami memiliki kebijakan 2FA wajib di frontend dan backend untuk melindungi pengguna selama fase pencabutan ini, karena arus keluar seperti penarikan memiliki persyaratan untuk menyiapkan dan menggunakan 2FA untuk menarik.”

Pada hari Selasa, Crypto.com juga memperkenalkan lapisan tambahan keamanan, menambahkan penundaan wajib 24 jam antara pendaftaran alamat penarikan baru yang masuk daftar putih dan penarikan pertama. Akan ada jeda waktu di antara pemberitahuan alamat penarikan yang ditambahkan, untuk memberi pengguna cukup waktu “untuk bereaksi dan merespons,” kata bursa. Pemberitahuan juga akan mencakup instruksi untuk menghubungi bursa jika daftar putih alamat tidak sah.

Crypto.com mengatakan bahwa mereka telah melakukan audit internal penuh atas infrastrukturnya dan telah menerapkan langkah-langkah penguatan keamanan tambahan yang tidak ditentukan. Itu juga membawa perusahaan keamanan pihak ketiga untuk melakukan pemeriksaan keamanan tambahan pada platformnya dan untuk memulai “layanan intelijen ancaman tambahan.” Pertukaran berencana untuk merilis fitur keamanan pengguna akhir tambahan saat bergerak menjauh dari 2FA dan ke apa yang disebutnya otentikasi multifaktor “benar” (MFA).

Akhirnya, Crypto.com memperkenalkan Program Perlindungan Akun Seluruh Dunia (WAPP) untuk menawarkan perlindungan dan keamanan tambahan untuk dana pengguna yang disimpan di aplikasi Crypto.com dan Crypto.com Exchange. Dirancang untuk melindungi dana pengguna dari penarikan yang tidak sah, WAPP memulihkan dana hingga USD $250.000 untuk pengguna yang memenuhi syarat.

Untuk memenuhi syarat WAPP, pengguna harus mengaktifkan MFA pada semua jenis transaksi jika tersedia, menyiapkan kode anti-phishing setidaknya 21 hari sebelum transaksi tidak sah yang dilaporkan, jauhkan perangkat yang di-jailbreak, ajukan laporan polisi dan berikan salinannya ke Crypto.com, dan lengkapi kuesioner untuk mendukung penyelidikan forensik.

“Keamanan dana pelanggan kami adalah yang tertinggi bagi kami prioritas, dan kami terus meningkatkan langkah-langkah keamanan dan perlindungan Defence-in-Depth kami, ”kata Marszalek dalam rilis hari Kamis. “Sementara kami diingatkan akan adanya aktor jahat yang berniat melakukan penipuan, Program Perlindungan Akun Seluruh Dunia yang baru ini, bersama dengan infrastruktur MFA baru kami, memberikan perlindungan yang belum pernah terjadi sebelumnya kepada pengguna kami atas dana mereka, dan semoga, ketenangan pikiran.”

What’s So Feeble Tentang 2FA?

2FA menggabungkan …

    Sesuatu yang Anda ketahui, seperti kata sandi atau PIN,

    Sesuatu yang Anda miliki, seperti ponsel, kartu pintar atau token USB, dan/atau

    Sesuatu Anda, seperti cetakan suara, sidik jari, atau cetakan iris.

Sayangnya , potongan kue “sesuatu yang Anda tahu” sering kali merupakan kata sandi yang kasar, mudah ditebak, atau phishing. Dan “sesuatu yang Anda miliki” biasanya ponsel, yang diverifikasi menggunakan kata sandi yang dapat disadap.

MFA dianggap lebih kuat dari 2FA karena menambahkan lebih banyak faktor otentikasi, menghilangkan ancaman keamanan yang terkait dengan 2FA. Seperti itu, ada beberapa cara untuk menyerang 2FA, termasuk namun tidak terbatas pada:

Rekayasa sosial. Seperti yang dicatat Coinbase ketika 6.000 pelanggannya ditipu pada Oktober 2021, alamat email, kata sandi, nomor telepon, dan kotak masuk email pribadi pengguna sering diperoleh melalui serangan phishing atau teknik rekayasa sosial lainnya yang menipu korban untuk mengungkapkan kredensial login mereka.

“ Karena cryptocurrency masih merupakan teknologi yang relatif baru, ini menghadirkan peluang bagi pelaku ancaman untuk merekayasa target secara sosial, ”kata Hank Schless, manajer senior, solusi keamanan di Lookout. “Investor kripto terus mencari keunggulan di pasar atau mata uang besar berikutnya yang akan meledak nilainya. Penyerang dapat menggunakan informasi yang haus ini untuk membuat pengguna mengunduh aplikasi berbahaya atau membagikan kredensial login untuk platform perdagangan sah yang mereka gunakan.”

Penyerang kemudian dapat menggunakan aplikasi berbahaya untuk mengekstrak data tambahan dari perangkat yang digunakannya atau mengambil kredensial login mereka. telah mencuri dan mencobanya di sejumlah aplikasi cloud yang digunakan untuk pekerjaan dan kehidupan pribadi, kata Schless kepada Threatpost pada hari Kamis.

“Untuk meningkatkan kemungkinan keberhasilan, penyerang menargetkan pengguna di seluruh perangkat seluler dan platform cloud,” lanjutnya. . “Misalnya, di Lookout, kami menemukan hampir 200 aplikasi cryptocurrency berbahaya di Google Play Store. Sebagian besar aplikasi ini mengiklankan diri mereka sebagai layanan penambangan untuk menarik pengguna agar mengunduhnya.”

Cookie session hijacking. Pencurian cookie, juga disebut pembajakan sesi atau serangan pass-the-cookie, melibatkan penjahat yang memasukkan dirinya sendiri antara komputer dan server untuk mencuri apa yang dikenal sebagai cookie ajaib: sesi yang mengotentikasi pengguna ke server jarak jauh. Setelah mencuri cookie, penyusup dapat memantau dan berpotensi menangkap semuanya dari akun dan dapat mengambil kendali penuh atas koneksi. Kami melihatnya terjadi pada Google pada Oktober 2021, ketika Google menangkap dan menepis sekelompok pembajak saluran YouTube pencuri cookie yang menjalankan penipuan cryptocurrency, atau melelang, saluran yang dirobek.

Generator kode duplikat. Seperti yang dilaporkan jurnalis keamanan Brian Krebs, akhir-akhir ini, ada layanan berbasis bot yang membuatnya “relatif mudah” bagi penjahat untuk mengelabui kata sandi satu kali (OTP) dari target. Mereka dirancang untuk mengelabui korban agar menyerahkan OTP tersebut, yang dapat digunakan penjahat untuk mengambil alih akun, dengan asumsi mereka pertama kali mengambil kredensial login target. Pada hari-hari awal otentikasi, penyerang juga telah menggunakan trojan untuk mencegat OTPs.

‘Itulah Tempat Uangnya’

Neil Jones, penginjil keamanan siber untuk Egnyte, tidak terkejut dengan fakta bahwa penjahat akan menargetkan pertukaran mata uang kripto, juga bahwa mereka lolos dengan $ 34,6 juta. Lagi pula, seperti jawaban Willie Sutton ketika ditanya mengapa dia merampok bank, “Di situlah uangnya.”

Tidak, yang mengejutkan Jones adalah hampir 500 pengguna dirampok.

Dia menarik beberapa pelajaran dari pelanggaran keamanan, termasuk:
The pentingnya solusi 2FA yang efektif yang mendorong pengguna akhir untuk verifikasi tambahan ketika transaksi besar terjadi secara tidak terduga.

Perlunya rencana respons insiden saat ini dan yang teruji di jalan.

Persyaratan bagi pengguna akhir untuk diberitahu segera dan akurat ketika serangan siber terjadi, untuk membantu melindungi reputasi merek.

Jangan ubah Bat Channel itu, anak-anak, karena lebih banyak pelanggaran tidak dapat dihindari, Jones mengatakan kepada Threatpost pada hari Kamis. Perusahaan “harus terus mengikuti perkembangan di bidang ini, karena ini kemungkinan bukan pelanggaran terakhir yang akan Anda lihat di pasar cryptocurrency,” prediksinya.

Rick Holland, kepala petugas keamanan informasi dan wakil presiden atau strategi di Digital Shadows, mengatakan kepada Ancaman bahwa Crypto.com adalah pertukaran mata uang kripto yang signifikan, dan karenanya membuat target yang mengundang bagi para kriminal.

“Ruang mata uang kripto adalah badai peluang yang sempurna bagi para penjahat dunia maya,” kata Holland. “Ini lintas batas, tidak diatur, spekulatif, dan mengalami demam emas dari investor rentan yang tidak memahami risikonya. Ada juga standar yang lebih tinggi untuk pengetahuan teknis jika Anda ingin berinvestasi di kripto.”

Dia memberi contoh: menggunakan dompet perangkat keras offline (misalnya, Buku Besar) yang dia puji sebagai “cara yang bagus untuk mengurangi risiko kehilangan kripto Anda. pertukaran dikompromikan.” Namun, lebih mudah diucapkan daripada dilakukan untuk yang secara teknis tidak paham, dia mencatat: “Menyiapkan salah satu dompet ini dan memindahkan crypto Anda dari bursa bukanlah hal yang sepele, dan terlalu tinggi untuk banyak investor crypto. Orang biasa bergumul dengan kata sandi, jadi menggunakan frase seed 24 kata di atasnya tidak memberikan pengalaman pengguna yang paling praktis.”

A untuk apa yang harus dilakukan penyedia platform kripto seperti Crypto.com untuk menghindari pelanggaran besar-besaran seperti ini, Schless dari Lookout memiliki rekomendasi: “Pastikan bahwa karyawan dilindungi dan tidak menjadi saluran bagi penjahat dunia maya untuk masuk ke infrastruktur,” katanya kepada Threatpost.

akses di belakang panggung ke infrastruktur perusahaan,” Schless menjelaskan.

Disarankan untuk membuang beberapa keamanan tingkat atas pada risiko, katanya: “Risiko terjadinya ini dapat dikurangi dengan menerapkan kombinasi yang kuat dari pertahanan ancaman seluler terpadu (MTD ) dan solusi broker keamanan akses cloud (CASB) yang dapat melindungi pengguna di titik akhir dan mengenali aktivitas anomali yang mengindikasikan akun karyawan yang disusupi.”
Write a comment
Bagikan artikel ini:

  • Breachliu
      iKeamanan Web