今日もまた、暗号におけるフィッシング攻撃が発生した。
人気のイーサリアムNFTコレクションGutter Cat Gangの公式Twitterアカウントとその共同創設者のアカウントがハッキングされ、少なくとも75万ドルの損失が発生しました。
また、この悪用によって90万ドルもの損失が発生したとの見方もある。AegisWeb3.
によって確認されたように、攻撃者のウォレットの少なくとも1つは、盗まれた資産を64万ドルで売却している。
Someone lost their ape pic.twitter.com/idcePIfyZa
-ザックXBT (@zachxbt) 2023年7月7日
推定値の幅が広いのは、摘発されたNFTの種類が多岐にわたり、フロア価格もさまざまであるためと思われる。
別の言い方をすれば、少なくとも87個のNFTが16人のユーザーから盗まれ、1つのアドレスは2021年9月に125,000ドルで販売されたBored Apeを含む36個のNFTを失った。
ハッカーは金曜日にツイートし、先月末にリリースされた正規のGutter Cat GangコレクションであるGutterMelの「公開エアドロップ」を宣伝した。ハッカーは偽のエアドロップへのフィッシング・リンクを投稿し、サイトに接続したウォレットから資金を流出させた。
「このような攻撃では)ほとんどの場合、被害者は悪意のある契約とやりとりしており、被害者はその契約がユーザーに代わってトークンを使用することを承認しています。これが’transferFrom()’の仕組みです」と、Immunefi社の技術リード・トリアージャーであるAdrian Hetman氏はTCNに語った。「そこから、契約をコントロールするハッカーは、基本的にユーザーのNFTを好きなように転送することができる。
2日後、ガッター・キャット・ギャングのツイッターは状況報告を投稿し、反省していること、法執行機関と協力していること、攻撃を二度と起こさないよう対策を講じていることを表明した。
このプロジェクトのファンは、被害者に対する補償の可能性についての言及がないことに失望した。
ガター・キャット・ギャングのツイッターアカウントが昨日侵害された。悪質なツイートは7月7日金曜日の午後(東部時間)に投稿されました。チームは侵害されたアカウントを取り戻しました。
私たちは速やかにTwitter、警察、携帯電話の連絡先に連絡を取りました…
– Gutter Cat Gang (@GutterCatGang) 2023年7月8日
TCNはガター・キャット・ギャング・チームに連絡を取りましたが、記事掲載時点では返答がありません
ガター・キャット・ギャングのセキュリティは?
ハッキングにもかかわらず、Gutter Cat Gangは “多要素認証とセキュリティ対策 “を使用していたと主張している。
チームがどのような多要素認証とセキュリティ対策を使っていたかは不明だ。Twitterは3つの多要素認証オプションを提供している:アプリベースの認証、SMS、専用キー。
「最も安全なオプションは、Authy、Microsoft Authenticator、Google Authenticatorなどを使ったアプリベースの認証です」と、サイバーセキュリティの専門家であるジェームズ・ボア氏はTCNに語った。「認証コードがネットワーク経由で送信されることはないので、誰かに傍受されることはない。
「専用のUSBセキュリティ・キーは、電話アプリよりも安全なオプションだが、追加費用や不便さ、そして電話よりもハードウェア・キーを紛失したり忘れたりする可能性が高いことから、あまり普及していないことが多い」とボア氏は付け加えた。
しかし、暗号探偵ZachXBTは、チームがSMS認証を使用したと主張し、 “最近のSIMスワップのすべての後にあなたのソーシャルでSMS(二要素認証)を使用したことは重大な過失である “と付け加えた。
“SIMスワップ攻撃は、詐欺師が電話プロバイダを説得することによって、被害者の電話番号を乗っ取るところである 携帯電話が紛失し、番号は新しいSIMに移植する必要がある” ソーシャルメディアセキュリティ会社Promonのシニアテクニカルディレクター、アンドリュー・ホエイリー。「新しいSIMはもちろん詐欺師のもので、ポートされると、彼らは電話やSMSメッセージにアクセスできるようになる。今回のケースでは、ツイッターはユーザーの携帯電話にワンタイムコードをテキスト送信することでパスワードのリセットを可能にしている。そのため、詐欺師はSIM交換の後、これを利用してツイッターのアカウントを乗っ取った。
SIMスワップ攻撃は最近暗号の世界で流行しており、ZachXBTは「ここ数週間で30件以上の暗号関連のSIMスワップがあった」と主張している
。
これは1つだけでなく2つのチームアカウントを確保できなかったプロジェクトです…
ここ数週間で、暗号関連のSIMスワップが30件以上あった。プロジェクトが標的にされていることが分かっているのに、なぜAuthenticatorアプリやセキュリティキーの代わりにSMS 2FAを使い続けるのか…
– ZachXBT (@zachxbt) July 7, 2023
「これは、SMSが二要素認証(2FA)の特に安全な形式ではない理由を示しています」とホエイリー氏は言う。「SIMスワップ攻撃は、国や携帯電話会社によって、簡単に実行できるかどうかが異なります。国によっては、電話のキーパッドで’1’を押すのと同じくらい簡単です」
どうすれば守られますか?
これによって、暗号化プロジェクトがソーシャルメディアアカウントをどのように保護しているのかという疑問が生じた。
ボア氏は、「長くてユニークなパスワード」を使用し、二要素認証にハードウェアキーを使用することを推奨している。
また、誰かがアカウントのパスワードをリセットしようとする前に、電子メールと電話番号の両方を要求するパスワードリセット保護をオンにする必要がある。
最終的な保護レイヤーとして、ボア氏はセキュリティのためにのみ使用する電話番号を持つことを勧めている。
