Nếu bạn muốn KYC, thì bạn nên CYA

Đây là cách bạn có thể tự bảo vệ mình tốt nhất trước các yêu cầu chia sẻ thông tin của các dịch vụ khác nhau-KYC

Những gì chúng tôi biết về những gì đã xảy ra

Vào khoảng ngày 10 và 18 tháng 3 năm nay, hai dịch vụ của bên thứ ba đã bị xâm phạm dữ liệu khách hàng Bitcoin của họ:

• một là hệ thống tiếp thị qua email có tên ActiveCampaign.
• một là ứng dụng web quản lý quan hệ khách hàng (CRM) được gọi là HubSpot.

Tổng cộng, hai sự cố riêng biệt nhắm mục tiêu và truy cập thông tin cá nhân (PI) của khách hàng thuộc ít nhất 31 công ty Bitcoin. Trong mọi trường hợp, dữ liệu bị xâm nhập bao gồm tên và địa chỉ email của khách hàng. Trong hầu hết các trường hợp, nó cũng bao gồm địa chỉ thực và số điện thoại. Trong các trường hợp khác, dữ liệu bị đánh cắp còn bao gồm địa chỉ IP, lịch sử duyệt web, loại người dùng và thông tin khách hàng khác.

Từ thông tin được chia sẻ công khai, một lần xâm nhập xảy ra thông qua kỹ thuật xã hội và một lần xâm nhập là thông qua tấn công lừa đảo.

Điều chúng ta chưa biết là liệu các công ty Bitcoin khác có bị xâm phạm thông qua các dịch vụ bên thứ ba của họ hay không. Các công ty khác có thể vẫn chưa nhận ra rằng dữ liệu của họ đã bị xâm phạm.

Tóm lại, luôn có những kẻ xấu nhắm mục tiêu vào các Bitcoiners – ngày càng có nhiều cuộc tấn công vào các công ty Bitcoin. Các cuộc tấn công mạng đang có số lượng tăng lên một cách lớn.

KYC có nghĩa là “biết khách hàng của bạn”. Nếu bạn đã cung cấp bất kỳ phần thông tin cá nhân nào được đề cập ở trên cho một hoặc nhiều công ty Bitcon này để mua Bitcoin hoặc cho các dịch vụ khác, thì thông tin cá nhân của bạn mà công ty yêu cầu để biết khách hàng của họ hiện đã bị xâm phạm.

Kẻ xấu hoặc những kẻ gây ra các cuộc tấn công thành công này – tối thiểu – bây giờ biết rằng bạn nắm giữ bitcoin. Làm thế nào họ có thể có ý định tận dụng thông tin đó vẫn còn được xem. Vì vậy, bạn nên che… mặt sau của mình.

Dịch vụ CRM hoặc Email Marketing là gì?

MỘT Quản lý quan hệ khách hàng (CRM) hệ thống “là một quá trình trong đó một doanh nghiệp hoặc tổ chức khác quản lý các tương tác của mình với khách hàng.” Salesforce có lẽ là ví dụ nổi tiếng nhất về CRM. Dịch vụ tiếp thị qua email như HubSpot là một cách dễ dàng để các công ty gửi email bản tin và thông tin khác đến các nhóm người dùng khác nhau.

Tương tự như cách hầu hết mọi người sử dụng các ứng dụng năng suất kỹ thuật số khác nhau để quản lý danh bạ và đời sống giao tiếp của họ, các doanh nghiệp và các tổ chức khác sử dụng CRM và các dịch vụ tiếp thị qua email để điều hành doanh nghiệp của họ một cách kỹ thuật số. Mọi doanh nghiệp kỹ thuật số mà bạn mua sắm hoặc làm việc cũng có thể bị xâm phạm dữ liệu cá nhân này.

Làm thế nào bạn có thể CYA trong tương lai

Nếu bạn định tương tác với một công ty cần KYC và lưu trữ chi tiết liên hệ của bạn, thì đây là những khuyến nghị của tôi về các bước tối thiểu bạn nên thực hiện đối với CYA:

1. E-Mail: Có được một địa chỉ email riêng biệt mà bạn chỉ sử dụng cho các dịch vụ tài chính Bitcoin. Nếu có sự xâm phạm dữ liệu, hãy lấy một địa chỉ email mới và cập nhật thông tin email đó cho TẤT CẢ các dịch vụ Bitcoin.
2. Điện thoại: Nhận một số điện thoại Internet riêng biệt và sử dụng số đó cho bất kỳ dịch vụ Bitcoin nào. Đối với địa chỉ email, nếu có sự xâm phạm dữ liệu, hãy thay đổi số điện thoại trên tất cả các dịch vụ Bitcoin.
3. Quyền truy cập tài khoản: Bật xác thực đa yếu tố (MFA) bằng ứng dụng xác thực hoặc khóa phần cứng. KHÔNG sử dụng SMS / tin nhắn cho MFA. (Hãy nhớ rằng, nếu bị xâm phạm, họ sẽ có số điện thoại của bạn ngay bây giờ và có thể hoán đổi SIM và xâm phạm bạn).LUÔN LUÔN sử dụng mật khẩu mạnh và trình quản lý mật khẩu và không sử dụng lại cùng một mật khẩu trên các dịch vụ khác nhau.
4. Địa chỉ thực: Nhận hộp thư bưu điện hoặc địa điểm giao hàng khác để sử dụng thay cho địa chỉ nhà riêng hoặc cơ quan của bạn.

Một số người thậm chí còn sử dụng một hệ thống máy tính để bàn hoàn toàn riêng biệt cho các tương tác dịch vụ Bitcoin.

Bạn cũng có thể được lợi khi xem lại các mẹo bảo mật mà tôi đã mô tả trong “Mẹo Bitcoin OpSec từ Casa Keyfest”.

Làm thế nào bạn có thể CYA nếu dữ liệu của bạn bị xâm phạm

Về cơ bản, hãy làm theo các bước ở trên và thay đổi những gì bạn có thể có trong thông tin đăng nhập tài khoản và hồ sơ công ty Bitcoin của mình – NGAY BÂY GIỜ.

Sau đó, bạn sẽ biết rằng liên hệ của công ty trong tương lai với địa chỉ email hoặc số điện thoại cũ sẽ bị coi là đáng ngờ và có thể là bất chính.

Làm thế nào bạn có thể CYA chống lại kỹ thuật xã hội

Trước tiên, KHÔNG cho rằng bạn sẽ không rơi vào một cuộc tấn công kỹ thuật xã hội.

Kỹ thuật xã hội là một phương pháp thỏa hiệp quanh co và nó sẽ thu hút mong muốn được nhìn thấy và thấu hiểu của bạn. Nếu những kẻ xấu có thông tin của bạn từ CRM, họ sẽ sử dụng thông tin về những gì bạn đã duyệt, những gì bạn đã mua và các cuộc trò chuyện trước đây để khiến bạn cảm thấy như họ đã kết nối cá nhân với bạn. Họ sẽ sử dụng bất kỳ lỗ hổng tâm lý nào mà họ có thể phát hiện để khiến bạn tin tưởng họ và sau đó thực hiện một hành động có thể gây ra một sự thỏa hiệp sẽ mang lại lợi ích tài chính cho họ.

Hãy tưởng tượng rằng ngày mai bạn nhận được một cuộc gọi điện thoại (kỹ thuật xã hội) từ một trong những nhà cung cấp dịch vụ Bitcoin của bạn, thông báo cho bạn về cuộc tấn công và đề nghị cập nhật mật khẩu của bạn ở đó và sau đó ngay qua điện thoại. ID người gọi của bạn thậm chí còn cho thấy rằng họ đang gọi từ công ty mà họ nói rằng họ đang gọi từ đó. Họ chỉ cần mật khẩu hiện tại của bạn để xác thực bạn. Nếu bạn đã bật tính năng này, họ thậm chí có thể nói rằng bạn sẽ nhận được yêu cầu xác thực 2 yếu tố được gửi đến điện thoại của bạn và chắc chắn, bạn sẽ nhận được một yêu cầu. Họ sẽ yêu cầu bạn đọc mã để “xác nhận danh tính của bạn”.

Điều thực sự đang xảy ra là họ đã giả mạo ID người gọi để làm cho nó trông giống như họ đang gọi từ công ty đó. Họ đang đăng nhập vào trang web với tư cách là bạn và bạn đang cung cấp cho họ tất cả thông tin họ cần để truy cập vào tài khoản của bạn.

Luôn truy cập trực tiếp vào trang web và thực hiện bất kỳ thay đổi hồ sơ nào ở đó.

Làm thế nào bạn có thể CYA chống lại lừa đảo qua email

KHÔNG cho rằng bạn thông minh về mặt kỹ thuật đến mức bạn sẽ không rơi vào một cuộc tấn công lừa đảo bằng giáo. Ngay cả những người nên biết tốt hơn cũng luôn yêu họ.

Hãy tưởng tượng rằng ngày mai bạn nhận được một email (tấn công lừa đảo), bề ngoài là từ một trong những nhà cung cấp dịch vụ Bitcoin của bạn, thông báo cho bạn về cuộc tấn công và khuyên bạn nên đăng nhập ngay lập tức để cập nhật mật khẩu của mình, cung cấp một liên kết đăng nhập hữu ích.

Bạn có nên nhấp vào liên kết đó không?

Trả lời: KHÔNG! Bạn KHÔNG BAO GIỜ nên nhấp vào liên kết trong email.

Thực hiện một số nghiên cứu và tự tìm hiểu xem những thứ này trông thực như thế nào và cách chúng sử dụng thành kiến ​​tâm lý và tiếng ồn để đánh lừa thị giác và não bộ của bạn.

KnowBe4 là một công ty cung cấp chương trình đào tạo bảo mật cho nhân viên và có nhiều thông tin miễn phí tốt về cách phát hiện và tránh các cuộc tấn công lừa đảo.

Cá nhân tôi hiếm khi nhấp vào liên kết từ các công ty Bitcoin. Truy cập trang web và đăng nhập trực tiếp. Nỗ lực nhỏ hơn đáng giá để bảo mật thêm và tránh nguy cơ xâm phạm thông tin cá nhân.

Làm thế nào bạn có thể CYA với các sàn giao dịch tập trung

Như mọi khi, không phải chìa khóa của bạn, không phải tiền của bạn. Để thực sự phi tập trung, bạn PHẢI TẮT Bitcoin của mình trên sàn giao dịch và tự lưu giữ.

Đây không chỉ là vấn đề của công ty Bitcoin. Tuy nhiên, như tôi đang viết về một phần khác và một điều gì đó sẽ hiển nhiên vào thời điểm này, Bitcoiners là một mục tiêu.

Đánh thức cuộc gọi về bảo mật và quyền riêng tư

Những thỏa hiệp này sẽ là một lời cảnh tỉnh về bảo mật trong mọi lĩnh vực của cuộc sống kỹ thuật số của bạn.

Và, bạn vừa nhận ra rằng bạn CÓ quan tâm đến quyền riêng tư.

Để đạt được điều đó, bạn có thể chọn chuyển sang các dịch vụ không KYC và / hoặc không giữ một số thông tin cá nhân của bạn.

Để biết thêm thông tin chi tiết về thỏa hiệp Hubspot, hãy xem “Vi phạm dữ liệu của công ty Bitcoin Hubspot có ý nghĩa gì đối với bạn (Nó không tốt)” của Robert Warren.

Đây là một bài đăng của Heidi Porter. Các ý kiến ​​được bày tỏ hoàn toàn là của riêng họ.