V Coinbase věříme, že zdravý a bezpečný kryptografický průmysl je zásadní pro růst a zrání krypto-ekonomiky.
Součástí toho je sdílení informací, které považujeme za užitečné pro širokou ochranu spotřebitelů v celém odvětví. Právě z tohoto důvodu sdílíme podrobnosti o nedávné rozsáhlé phishingové kampani pod značkou Coinbase, která podle našeho názoru ovlivnila zákazníky i mnoho dalších.
V období od dubna do začátku května 2021 zaznamenal bezpečnostní tým Coinbase výrazný nárůst phishingových zpráv pod značkou Coinbase, které cílily na uživatele řady běžně používaných poskytovatelů e-mailových služeb (více informací o phishingu najdete v našem centru nápovědy). Ačkoli byl útok rozsáhlý, vykazoval vyšší míru úspěšnosti při obcházení spamových filtrů některých starších e-mailových služeb.
Zprávy využívaly širokou škálu různých předmětů, odesílatelů a obsahu. Někdy se zasílalo více variant stejným obětem. V závislosti na přijaté variantě e-mailu byly použity i různé techniky krádeže přihlašovacích údajů. Následující snímky obrazovky ukazují reprezentativní zkušenosti obětí, ale nemusely by se nutně zobrazit přesně v tomto pořadí u všech obětí.
Přihlašovací údaje ke službě Coinbase
Jakmile útočníci získali e-mailovou schránku uživatele a jeho přihlašovací údaje ke službě Coinbase, mohli v malém počtu případů tyto informace použít k tomu, aby se vydávali za uživatele, obdrželi SMS kód dvoufaktorového ověření a získali přístup k účtu zákazníka služby Coinbase. S přístupem k těmto účtům mohl útočník převádět finanční prostředky do kryptopeněženek nespojených s Coinbase.
Útočníci v žádném okamžiku nenarušili bezpečnostní infrastrukturu ani širší systémy společnosti Coinbase a provedli jsme změny, abychom zabránili úspěchu tohoto typu útoku v budoucnu.
Jakmile jsme se o útoku dozvěděli, podnikli jsme řadu kroků na ochranu našich zákazníků, včetně spolupráce s externími bezpečnostními partnery na odstranění škodlivých domén a webových stránek spojených s phishingovou kampaní, a také jsme informovali poskytovatele e-mailových služeb, kterých se útok nejvíce dotkl.
Útoky, jako je tento, sice mají potenciál způsobit svým obětem značné škody, ale přijetí několika rozumných bezpečnostních opatření může jejich účinnost výrazně snížit. Níže uvádíme několik osvědčených postupů, které by měl každý dodržovat, aby udržel své různé online účty v bezpečí.
Silná hesla
Hesla jsou zámky vstupních dveří do vašich online aplikací, ale příliš mnoho lidí selhává, pokud jde o základní osvědčené postupy týkající se hesel. Podle nedávné studie více než 50 % dotázaných opakovaně používá hesla k více účtům. Pokud je heslo zámkem vstupních dveří do vašeho digitálního života, opakované používání hesla je jako mít stejný klíč od domu, auta, poštovní schránky a pracoviště. Jinými slovy, opakované používání hesla je sotva lepší než nemít žádné heslo.
Silná hesla by měla obsahovat kombinaci písmen (malých i velkých), číslic a speciálních znaků a měla by mít alespoň 10 znaků. Mnoho správců hesel vám nabídne možnosti, které tyto standardy splňují.
Použití správce hesel
Pokud dodržujete osvědčené bezpečnostní postupy, měli byste pro každou navštívenou stránku používat jedinečná, silná hesla, abyste si nemohli zapamatovat přihlašovací údaje pro všechny své online účty. Zde se stávají neocenitelnými správci hesel, jako jsou 1Password a Dashlane. Nejenže vám správce hesel navrhne silná, náhodně generovaná hesla, ale mnohé z nich mají zabudované funkce, které pomáhají zabránit zadání hesla na nesprávné webové stránce – například při phishingových kampaních, jako je ta popsaná výše.
Dvoufaktorové ověřování
Po výběru silného a jedinečného hesla je nejdůležitějším způsobem zabezpečení vašich online účtů zapnutí dvoufaktorového ověřování (2FA). Funkce 2FA, známá také jako dvoufázové ověření, je vedle uživatelského jména a hesla další bezpečnostní vrstvou. Pokud máte na svém účtu povoleno 2FA, budete muset při přihlašování k účtu zadat své heslo (první „faktor“) a kód 2FA (druhý „faktor“).
Představení technologie TRUST (Travel Rule Universal Solution Technology)
Společnost Coinbase s hrdostí oznamuje spuštění technologie TRUST (Travel Rule Universal Solution Technology), průmyslového řešení navrženého tak, aby splňovalo požadavek známý jako Travel Rule a zároveň chránilo bezpečnost a soukromí našich zákazníků.
Existuje mnoho typů 2FA, od fyzického klíče (např. YubiKey) – nejbezpečnější – až po ověření pomocí SMS – nejméně bezpečné. Mnoho lidí se rozhoduje pro SMS 2FA, protože je spojeno s telefonním číslem, nikoli s jedním konkrétním zařízením, a obecně se nejsnáze nastavuje a používá.
Bohužel stejná úroveň pohodlí také usnadňuje vytrvalým útočníkům zachytit vaše kódy 2FA. Důrazně doporučujeme všem, kteří v současné době používají SMS jako sekundární metodu ověřování, aby přešli na silnější metody, jako je Google Authenticator nebo bezpečnostní klíč všude tam, kde je podporován.
Všechno zpochybnit
Coinbase, stejně jako většina finančních institucí nebo FinTech společností, vás nikdy nebude kontaktovat s žádostí o heslo, dvoufaktorové ověřovací kódy nebo o provedení akcí, jako je instalace nového softwaru nebo odeslání prostředků na adresu kryptoměny. Kdykoli obdržíte sdělení od společnosti, se kterou máte co do činění, ověřte si, že je to to, co si myslíte, že je.
Bylo odesláno z domény, která je v souladu s danou společností? (Tj. help@coinbase.com na rozdíl od support.coinbase@gmail.com). Je cílová stránka přesná? (paypal.com na rozdíl od secure-paypal[.]com). Je obsah ve sdělení nebo na webových stránkách ve stejném stylu a stejné kvalitě jako předchozí sdělení? Mnoho podvodných stránek obsahuje překlepy, používá stará loga nebo působí jinak než jejich pravé protějšky.
Spolupráce Coinbase a Mastercard přináší revoluci v nakupování NFT
Naším posláním v Coinbase je zvyšovat ekonomickou svobodu ve světě. Tím, že umožňujeme více lidem zapojit se do ekonomiky tvůrců a profitovat z jejich práce, hrají NFT (Non-Fungible Tokens) v této misi důležitou roli. Zkušenost s nákupem NFT je však pro mnoho uživatelů stále složitá.
Coinbase poskytuje řadu zdrojů, které našim zákazníkům pomáhají vyhnout se podvodům online a nahlásit potenciální škodlivou aktivitu. Kryptoměnové transakce jsou nevratné. Pokud vy (nebo hacker, který získal neoprávněný přístup k vašemu účtu) odešlete kryptoměnu třetí straně, nelze to zvrátit ani zastavit. Když posíláte kryptoměnu na adresu blockchainu, musíte si být jisti legitimitou všech zúčastněných služeb a obchodníků třetích stran a posílat kryptoměnu pouze subjektům, kterým důvěřujete.
Pokud máte někdy pochybnosti, udělejte si průzkum a nikdy neposílejte finanční prostředky ani nesdílejte informace, pokud si nejste stoprocentně jisti, že komunikujete s tím, s kým si myslíte, že komunikujete.
