Όταν προσπαθείτε να επαναφέρετε την πρόσβαση στον λογαριασμό σας στο Kraken, μπορεί να σας ζητηθεί να συμμετάσχετε σε βιντεοκλήση με έναν υποστηρικτή για να αποδείξετε την ταυτότητά σας.
Σύμφωνα με το DeCrypt, τον προηγούμενο μήνα η κεντρική πλατφόρμα αποκάλυψε ότι εντόπισε έναν άνθρωπο που φορούσε μια λαστιχένια μάσκα αποκριάτικου στυλ, προσπαθώντας να παραπλανήσει τον υπάλληλο στην άλλη άκρη της κλήσης — όμως το σχέδιο απέτυχε.
Ο επιτιθέμενος προκάλεσε αρκετές υποψίες από τον πρώτο έλεγχο, όπως το ότι δεν μπορούσε να αναφέρει τα περιουσιακά στοιχεία που κατείχε ο λογαριασμός. Αυτές οι ενδείξεις οδήγησαν τον υπάλληλο να ζητήσει βιντεοκλήση για την επαναφορά της πρόσβασης στον λογαριασμό. Κατά τη διάρκεια της κλήσης, ο εργαζόμενος της Kraken έκανε περισσότερες ερωτήσεις και έλεγξε την ταυτότητα του ατόμου.
Ο επιτιθέμενος απέτυχε με εντυπωσιακό τρόπο σε αυτό το στάδιο.
«Ο υπάλληλός μας είπε: “Αυτό είναι εντελώς γελοίο. Ο τύπος φοράει μια λαστιχένια μάσκα,”» ανέφερε ο Αρχηγός Ασφαλείας της Kraken, Nick Percoco, στο Decrypt.
Η μάσκα δεν έμοιαζε καν με το άτομο που προσποιείτο ο επιτιθέμενος ότι ήταν. Το θύμα ήταν ένας Καυκάσιος άνδρας γύρω στα 50, οπότε φάνηκε στον Percoco ότι ο επιτιθέμενος απλώς πήρε μια μάσκα που ταιριάζει αόριστα με την περιγραφή.
Αυτή δεν είναι η πρώτη φορά που κάποιος φορά μεταμφίεση προσπαθώντας να ξεγελάσει την Kraken.
«Βλέπουμε κατά καιρούς περιπτώσεις που άνθρωποι φοράνε ψεύτικο μουστάκι,» είπε στο Decrypt. «Δείχνουν ταυτότητα που μοιάζει κοντά γιατί φοράνε ίδια στυλ γυαλιών, έχουν μουστάκι και ξανθά μαλλιά. Το βλέπουμε αυτό κατά καιρούς. Ποτέ δεν περνάει.»
Ωστόσο, «αυτή είναι η πρώτη φορά,» πρόσθεσε, «που κάποιος πήγε σε κατάστημα με κοστούμια για να πάρει μάσκα.»
Για να χειροτερέψουν τα πράγματα, ο επιτιθέμενος δεν είχε ούτε πιστευτή ταυτότητα. Ήταν «σαφώς» τροποποιημένη με Photoshop και εκτυπωμένη σε χαρτόνι, παρόλο που είχε τα σωστά στοιχεία.
Αν και αυτή δεν ήταν μια πολύπλοκη επίθεση, αναδεικνύει ότι ακόμα και επιφανειακοί απατεώνες μπορεί να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες καθημερινών ανθρώπων. Ακόμα και με μια τόσο ακατέργαστη προσπάθεια, ο Percoco πιστεύει ότι οι επιτιθέμενοι μπορεί να επιτύχουν.
«Πιστεύω ότι πρέπει να δουλεύει,» είπε στο Decrypt. «Πιστεύω ότι κάποιοι που φοράνε μεταμφιέσεις, αποκτούν αντίγραφα των ταυτοτήτων και τα εκτυπώνουν σε γυαλιστερό χαρτί, πιθανόν να δουλεύει για κάποιες πλατφόρμες.»
Εάν έχει δίκιο, τότε αυτό σημαίνει ότι οι χρήστες κεντρικών ανταλλακτηρίων δεν πρέπει πάντα να βασίζονται στην εταιρεία για να αποκρούει κακόβουλους παράγοντες. Για να προστατευτούν, οι χρήστες πρέπει να χρησιμοποιούν δύο παράγοντες αυθεντικοποίησης «παντού» και να αποφεύγουν κάθε διαρροή προσωπικών πληροφοριών με κάθε κόστος.
Ακόμα και με αυτά τα μέτρα προστασίας, ένας χρήστης μπορεί να πέσει θύμα phishing scams. Για κορυφαία ασφάλεια, προτείνει τη χρήση FIDO2 και passkeys, τα οποία είναι υλικό-κλειδιά που μετατρέπουν το κινητό ή το λάπτοπ σας σε κωδικό πρόσβασης για έναν λογαριασμό.
«Τα passkeys είναι κρυπτογραφικά δεμένα με τους ιστότοπους και τις εφαρμογές που τα χρησιμοποιείτε,» είπε, «έτσι δεν μπορείς να παρασυρθείς νομίζοντας ότι συνδέεσαι στην Kraken.»
