Кількість витоків облікових даних користувачів криптовалютних бірж збільшилася на 369%

Group-IB провела перше дослідження витоків облікових даних користувачів криптовалютних бірж та проаналізувала характер цих інцидентів. За рік кількість витоків збільшилась на 369%. США, Росія та Китай стали лідерами за кількістю жертв кібератак на криптовалютні біржі.

У 2017 році, одночасно з різким збільшенням інтересу до криптовалютів, рекордними показниками їхньої капіталізації, злетом курсу біткоїну, відбулися десятки атак на криптовалютні сервіси. На основі даних, отриманих із системи Group-IB Threat Intelligence (кіберрозвідка), експерти міжнародної компанії Group-IB проаналізували крадіжку 720 облікових записів (логінів і паролів) 19 найбільших криптовалютних бірж

У звіті Group-IB «2018 Криптовалютні біржі. Аналіз витоків облікових записів користувачів» фіксується стійке зростання числа скомпрометованих облікових записів користувачів криптовалютних бірж. З 2016 по 2017 рік їх кількість збільшилася на 369%.

Антирекорд показав перший місяць 2018 року: через підвищений інтерес до криптовалютів та блокчейн-індустрії кількість інцидентів у січні зросла на 689% порівняно із середньомісячним показником 2017 року. США, Росія та Китай – три країни, в яких зареєстровані користувачі частіше за інших ставали жертвами кібератак. Дослідження показало, що кожен третій постраждалий перебуває у США.

Експертами Group-IB було виявлено 50 активних ботнетів, задіяних для кібератак на користувачів криптовалютних бірж. Задіяна кіберзлочинцями інфраструктура в основному базується в США (56,1%), Нідерландах (21,5%), Україні (4,3%) та Росії. (3,2%).

Кількість зловмисників, що використовуються зловмисними програмами, постійно збільшується, а самі інструменти – постійно модифікуються. Серед шкідливих програм, що найчастіше використовуються, — трояни AZORult і Pony Formgrabber, а також бот Qbot. При цьому, кіберзлочинці продовжують використовувати інструменти, що призначалися раніше для атак на банки, і тепер успішно використовують їх для злому криптобірж, гаманців і отримання доступу до особистих даних користувачів.

Причина успішних крадіжок полягає у відсутності належної уваги до інформаційної безпеки та недооцінки можливостей кіберзлочинності. Перша та головна причина: ігнорування двофакторної аутентифікації як користувачами, так і самими біржами. Друга – нехтування елементарними правилами безпеки, такими як використання складних і, головне, унікальних паролів для різних сервісів. Аналіз вибірки Group-IB, що складається з 720 облікових записів, показав, що кожен п'ятий користувач вважав достатнім пароль коротшим за 8 символів.

Експерти Group-IB у своєму звіті роблять невтішні висновки: на даний момент жодна криптовалютна біржа, незалежно від масштабів та тривалості операційної історії, не забезпечує абсолютну безпеку своїм користувачам. Щонайменше п'ять із 19 проаналізованих бірж стали жертвами цілеспрямованих кібератак, що широко висвітлюються ЗМІ. Це Bitfinex, Bithumb, Bitstamp, HitBTC, Poloniex і, ймовірно, Huobi. Причини злому – різні: це помилки у вихідному коді програми, фішингові атаки, несанкціонований доступ до бази даних користувачів бірж, вразливість при зберіганні та виведенні коштів. Проте всі вони є наслідком недостатньої уваги до інформаційної безпеки та захисту своїх цифрових активів.

«Хвиляста активізація шахраїв і підвищена увага хакерських угруповань до криптоіндустрії, модифікація шкідливих програм під криптовалюти, а також значні обсяги вкрадених засобів, - все це сигналізує про те, що галузь, що розглядається, ще не готова захищати себе і своїх користувачів. Таким чином, імовірно, у 2018 році кількість інцидентів збільшуватиметься. Така ситуація потребує оперативної та ефективної реакції всіх зацікавлених сторін, включаючи експертів із різних областей».

Для того, щоб не стати жертвою крипто-шахраїв та убезпечити свої кошти, Group-IB настійно радить користувачам уважно ставитися до паролів (від 14 унікальних символів), ніколи не використовувати однакові комбінації на різних біржах та сервісах, а також завжди включати опцію 2ФА (двофакторної аутентифікації), не довіряючи кошти тим майданчикам, які надають такого способу захисту. Експерти рекомендують відмовитися від публічного Wi-Fi (принаймні при проведенні біржових операцій) і приділити особливу увагу своїм «слідам» у соціальних мережах, особливо в частині афішування факту наявності криптовалюти.

Не менш важливими є рекомендації для власників бірж. Насамперед, двофакторну аутентифікацію необхідно зробити обов'язковою опцією для всіх користувачів та їх операцій, регулярно проводити аудит захищеності ІТ-інфраструктури самої біржі та пов'язаних з нею сервісів, а також виділяти ресурси на навчання та підвищення обізнаності персоналу в галузі безпеки, починаючи від топ-менеджменту (фаундерів) та закінчуючи рядовими співробітниками. Серед важливих аспектів підвищення рівня захисту криптобірж експерти також називають обов'язкове встановлення рішень класу Threat Intelligence, використання можливостей кіберрозвідки та впровадження анти-фрод рішень, що включають системи поведінкового аналізу. Також рекомендується розробка оперативного плану реагування на інцидент інформаційної безпеки, що дозволить мінімізувати потенційні збитки від кібератак.