Nhà môi giới tiền điện tử tiếng Malta Foris DAX MT Ltd, được biết đến nhiều hơn bởi tên miền của nó Crypto.com, từng trải qua một vụ “cướp ngân hàng” trị giá hàng triệu đô la vào đầu tháng này.

Theo một báo cáo an ninh ngắn gọn được công bố ngày hôm qua, 483 khách hàng đã trải qua quá trình rút tiền ma với tổng số chỉ hơn 4800 mã thông báo Ether, chỉ hơn 440 mã thông báo Bitcoin và chỉ hơn 66,000 đô la chỉ được liệt kê dưới dạng “các loại tiền điện tử khác”.

Sử dụng tỷ giá chuyển đổi gần đúng cho ngày 17 tháng 2022 năm 1 (ETH3300=$1 và BTC43,000=35,000,000 USD), đó là thời điểm các giao dịch giả mạo bị phát hiện, tổng thiệt hại do vụ trộm này gây ra là khoảng XNUMX USD.

Có chuyện gì?

Crypto.com tuyên bố rằng “tất cả các tài khoản bị ảnh hưởng đã được khôi phục hoàn toàn”, mà chúng tôi cho rằng có nghĩa là những khách hàng rút tiền ảo đã được chính Crypto.com hoàn trả.

Thông tin chi tiết về cách bọn tội phạm thực hiện cuộc tấn công không được đưa ra trong báo cáo mà chỉ nói đơn giản rằng “các giao dịch đã được phê duyệt mà không cần người dùng nhập kiểm soát xác thực 2FA.”

Điều mà báo cáo không giải thích hoặc thậm chí đề cập đến là liệu mã 2FA có được nhập bởi ai đó – mặc dù không phải bởi chính khách hàng – để cho phép rút tiền gian lận hay liệu phần 2FA của quy trình xác thực bằng cách nào đó đã bị bỏ qua hoàn toàn.

Điều này có nghĩa là chúng tôi không thể dễ dàng biết cách thức hoặc lý do tại sao quy trình 2FA không hoạt động bình thường, mặc dù có một số giải thích có thể xảy ra.

Nếu muốn xem hệ thống 2FA của mình có thể bị lỗi như thế nào, bạn sẽ cần xem xét một danh sách dài các khả năng, bao gồm:

• Một lỗ hổng cơ bản trong hệ thống 2FA cơ bản. Ví dụ: hệ thống mã số dùng một lần dựa trên SMS dựa trên bộ tạo ngẫu nhiên bị lỗi có thể tạo ra các chuỗi có thể đoán được, cho phép kẻ tấn công dự đoán đúng mã để nhập cho một số hoặc tất cả người dùng.
• Vi phạm cơ sở dữ liệu xác thực 2FA. Ví dụ: hệ thống tạo mã dựa trên ứng dụng thường dựa vào bí mật chung được gọi là hạt giống, điều đó không thể được được lưu trữ dưới dạng hàm băm giống như một mật khẩu thông thường. Cả máy khách và máy chủ đều phải có quyền truy cập vào bản rõ của hạt giống tại thời điểm đăng nhập, do đó, vi phạm phía máy chủ có thể cung cấp cho kẻ tấn công các chi tiết cần thiết để tính toán chuỗi mã một lần cho một số hoặc tất cả người dùng.
• Mã hóa kém trong quá trình đăng nhập trực tuyến. Máy chủ xác thực được cấu hình kém có thể vô tình cho phép yêu cầu đăng nhập phía máy khách thao túng cài đặt cấu hình được sử dụng, chẳng hạn như bằng cách bao gồm các tiêu đề HTTP không có giấy tờ hoặc thêm các tham số URL đặc biệt ghi đè bất ngờ các biện pháp phòng ngừa bảo mật hiện có.
• Kiểm soát nội bộ yếu kém để phát hiện hành vi rủi ro của nhân viên hỗ trợ hoặc CNTT. Ví dụ: những người trong nội bộ quá hữu ích (hoặc cố ý tham nhũng) có thể không phải chịu sự đánh giá ngang hàng hoặc phê duyệt lần thứ hai đối với những thay đổi quan trọng trong tài khoản. Đây là cách vụ hack Twitter khét tiếng của năm 2020 đã xảy ra: các tài khoản nổi tiếng như Joe Biden, Elon Musk, Barack Obama, Bill Gates, Apple và những người khác đã bị chiếm đoạt do nhân viên hỗ trợ hữu ích cho phép kẻ tấn công thay đổi địa chỉ email được sử dụng để bảo mật những tài khoản đó.
• Hành vi không mở được trong quá trình xác thực. Hệ thống kiểm soát truy cập đôi khi cần phải thất bại đóng cửa, chẳng hạn để không ai có thể lẻn vào nếu hệ thống bị hỏng và đôi khi cần phải không mở được, chẳng hạn như để không ai bị nhốt trong trường hợp khẩn cấp sơ tán. Những lý do không mong muốn khiến hệ thống bị hỏng có thể dẫn đến các chế độ lỗi không chính xác khiến hệ thống được cấu hình không chính xác, chẳng hạn như mở khóa cho mọi người khi cần tắt hoàn toàn.

Những gì đã xảy ra tiếp theo?

Crypto.com tuyên bố rằng họ có “đã di chuyển sang cơ sở hạ tầng 2FA hoàn toàn mới”, dường như đã hết “rất nhiều sự thận trọng”.

Chúng tôi chưa bao giờ hiểu rõ từ “hết sức thận trọng” nghĩa là gì, vì các phản ứng thái quá về an ninh mạng có thể gây tốn kém và phản tác dụng như những phản ứng không đúng mức, nhưng nó dường như là một cụm từ bắt buộc phải nói trong các báo cáo vi phạm hiện đại, như nếu chu đáo dùng thích hợp biện pháp phòng ngừa không còn đủ tốt nữa.

Xét cho cùng, nếu nguyên nhân cốt lõi dẫn đến lỗi 2FA của bạn là lý do (1) ở trên – một thiếu sót nội tại trong chính hệ thống 2FA – thì việc thực hiện thay đổi gốc và nhánh bằng cách đổi nó lấy công nghệ 2FA hoàn toàn mới có vẻ phù hợp.

Nhưng nếu nguyên nhân cốt lõi là lý do (5) ở trên – nhân viên hỗ trợ có thể ủy quyền đặt lại tài khoản quá dễ dàng – thì việc thay đổi công nghệ 2FA cơ bản có thể tạo ra rất ít hoặc không có sự khác biệt.

Phải làm gì?

• Nếu bạn là khách hàng của Crypto.com, bạn sẽ cần phải định cấu hình lại tài khoản của mình để sử dụng hệ thống mới. Đáng chú ý, dường như hiện đã có khoảng thời gian 24 giờ để thêm tài khoản mới để chuyển số dư. Điều này nhằm mục đích giúp bạn có thêm thời gian phát hiện hoặc được cảnh báo về những thay đổi tài khoản không mong muốn do kẻ gian cố gắng thực hiện.
• Nếu bạn đang xem xét thêm 2FA vào các dịch vụ trực tuyến của riêng mình, đừng chỉ kiểm tra các phần hiển nhiên của hệ thống. Đảm bảo bạn xem xét tất cả các điểm tương tác với phần còn lại của hệ thống và cân nhắc việc thuê người kiểm tra thâm nhập để thăm dò các loại lỗi không mong muốn.
• Nếu bạn làm trong lĩnh vực PR hoặc tiếp thị, hãy yêu cầu toàn bộ công ty thực hành cách phản ứng nếu xảy ra vi phạm. Điều này không có nghĩa là bạn đang mong đợi thất bại. Nhưng điều đó có nghĩa là nếu bạn bị phát hiện, quy trình giao tiếp cần thiết về mặt pháp lý và đạo đức với những khách hàng không may của bạn sẽ không tiêu tốn thời gian lập kế hoạch mà tốt hơn nên dành cho việc nghiên cứu và khắc phục vấn đề một cách hợp lý.