무슨 일이 있었는지에 대한 정보
올해 3월 10일과 18일경, 두 개의 제3자 서비스에서 비트코인 고객 데이터가 유출되었습니다:
- 하나는 ActiveCampaign이라는 이메일 마케팅 시스템이었습니다.
- 하나는 HubSpot이라는 고객 관계 관리(CRM) 웹 애플리케이션이었습니다.
총 두 건의 사건에서 최소 31개의 비트코인 회사 고객의 개인 정보(PI)가 타겟이 되어 접근되었습니다. 모든 경우에 유출된 데이터에는 고객의 이름과 이메일 주소가 포함되었습니다. 대부분의 경우, 여기에는 물리적 주소와 전화번호도 포함되었습니다. 다른 경우에는 도난당한 데이터에 IP 주소, 브라우징 기록, 사용자 유형 및 기타 고객 정보도 포함되었습니다.
공개된 정보에 따르면, 하나의 유출은 소셜 엔지니어링을 통해 발생했고, 다른 하나는 피싱 공격을 통해 발생했습니다.
아직 우리가 알지 못하는 것은 다른 비트코인 회사들이 제3자 서비스를 통해 유출되었는지 여부입니다. 다른 회사들은 아직 자신의 데이터가 유출되었다는 사실을 인식하지 못했을 수 있습니다.
요약하자면, 비트코인 사용자들을 타겟으로 하는 나쁜 행위자들이 항상 존재해 왔으며, 비트코인 회사들에 대한 공격도 증가하고 있습니다. 사이버 공격으로 인해 수치가 크게 증가하고 있습니다.
KYC는 “고객을 알아야 한다”는 의미입니다. 비트코인을 구매하거나 기타 서비스를 위해 위에서 언급한 개인 정보를 하나 이상의 비트코인 회사에 제공한 경우, 고객을 알아야 하기 위해 회사가 요구한 개인 정보가 이제 유출되었습니다.
이러한 성공적인 공격을 저지른 나쁜 행위자들은 최소한 당신이 비트코인을 보유하고 있다는 사실을 알고 있습니다. 그들이 이 정보를 어떻게 활용할지는 두고 봐야 합니다. 그러므로, 당신은 자신의 … 뒷면을 보호해야 합니다.
CRM 또는 이메일 마케팅 서비스란 무엇인가?
고객 관계 관리(CRM) 시스템은 “비즈니스 또는 기타 조직이 고객과의 상호작용을 관리하는 과정”입니다. Salesforce는 CRM의 가장 잘 알려진 예일 것입니다. ActiveCampaign과 같은 이메일 마케팅 서비스는 기업들이 다양한 사용자 그룹에 뉴스레터 및 기타 정보를 이메일로 전송하는 쉬운 방법입니다.
대부분의 사람들이 다양한 디지털 생산성 앱을 사용하여 연락처와 커뮤니케이션을 관리하는 것처럼, 기업 및 기타 조직은 비즈니스를 디지털로 운영하기 위해 CRM과 이메일 마케팅 서비스를 사용합니다. 당신이 쇼핑하거나 거래하는 모든 디지털 비즈니스도 이 개인 데이터가 유출될 수 있습니다.
미래에 CYA하는 방법
KYC가 필요하고 연락처 세부 정보를 저장해야 하는 회사와 상호작용할 예정이라면, CYA를 위해 최소한의 조치를 취할 것을 권장합니다:
- 이메일: 비트코인 금융 서비스에만 사용하는 별도의 이메일 주소를 얻으세요. 데이터 유출이 발생하면 새로운 이메일 주소를 얻고 모든 비트코인 서비스에 대한 이메일 정보를 업데이트하세요.
- 전화: 별도의 인터넷 전화번호를 얻고 비트코인 서비스에 사용하세요. 이메일 주소와 마찬가지로 데이터 유출이 발생하면 모든 비트코인 서비스에서 전화번호를 변경하세요.
- 계정 접근: 인증 앱 또는 하드웨어 키를 사용하여 다중 인증(MFA)을 활성화하세요. MFA에 SMS/문자를 사용하지 마세요. (유출된 경우, 그들은 이제 당신의 전화번호를 알고 있으며 SIM 스와핑을 통해 당신을 타겟으로 삼을 수 있습니다).
항상 강력한 비밀번호와 비밀번호 관리자를 사용하고, 서로 다른 서비스에서 동일한 비밀번호를 재사용하지 마세요. - 물리적 주소: 집이나 직장 주소 대신 사용할 P.O. 박스 또는 다른 배송 위치를 얻으세요.
일부 사람들은 비트코인 서비스 상호작용을 위해 완전히 별도의 데스크탑 시스템을 사용하기도 합니다.
또한 “Bitcoin OpSec Tips From Casa Keyfest”에서 설명한 보안 팁을 검토하는 것이 도움이 될 수 있습니다.
데이터가 유출된 경우 CYA하는 방법
기본적으로 위의 단계를 따르고 비트코인 회사 프로필 및 계정 자격 증명에서 변경할 수 있는 사항을 NOW 변경하세요.
그렇게 하면 이전 이메일 주소나 전화번호로의 향후 회사 연락은 의심스럽고 아마도 악의적일 것으로 간주해야 한다는 것을 알게 될 것입니다.
소셜 엔지니어링에 대해 CYA하는 방법
첫째, 당신이 소셜 엔지니어링 공격에 속지 않을 것이라고 가정하지 마세요.
소셜 엔지니어링은 교활한 유출 방법이며, 당신이 보이고 이해받고 싶어하는 욕구를 자극합니다. 나쁜 행위자들이 CRM에서 당신의 정보를 가지고 있다면, 그들은 당신이 브라우징한 내용, 구매한 항목 및 과거 대화에 대한 정보를 사용하여 개인적으로 연결되었다고 느끼게 할 것입니다. 그들은 당신이 신뢰하도록 만들기 위해 감지할 수 있는 모든 심리적 취약점을 이용하여 행동을 유도하고, 그로 인해 재정적 이득을 얻을 수 있는 유출을 초래할 수 있습니다.
내일 당신이 비트코인 서비스 제공업체 중 하나로부터 전화(소셜 엔지니어링)를 받는다고 상상해 보세요. 그들은 공격에 대해 알리고, 그 자리에서 비밀번호를 업데이트하자고 제안합니다. 발신자 ID는 그들이 주장하는 회사에서 전화하는 것처럼 보입니다. 그들은 당신을 인증하기 위해 현재 비밀번호가 필요하다고 말합니다. 만약 당신이 이를 활성화했다면, 그들은 당신의 전화로 2단계 인증 요청이 전송될 것이라고 말할 수도 있으며, 정말로 그런 요청을 받게 됩니다. 그들은 당신에게 “신원을 확인하기 위해” 코드를 읽어달라고 요청할 것입니다.
실제로 일어나고 있는 일은 그들이 발신자 ID를 조작하여 그 회사에서 전화하는 것처럼 보이게 하고 있다는 것입니다. 그들은 당신의 계정에 접근하기 위해 필요한 모든 정보를 당신에게서 얻고 있습니다.
항상 웹사이트에 직접 가서 프로필 변경을 하세요.
이메일 피싱에 대해 CYA하는 방법
당신이 너무 기술적으로 능숙해서 스피어 피싱 공격에 속지 않을 것이라고 가정하지 마세요. 더 잘 알아야 할 사람들도 항상 속습니다.
내일 당신이 비트코인 서비스 제공업체 중 하나로부터 이메일(피싱 공격)을 받는다고 상상해 보세요. 그들은 공격에 대해 알리고 즉시 로그인하여 비밀번호를 업데이트하라고 권장하며, 편리한 로그인 링크를 제공합니다.
그 링크를 클릭해야 할까요?
답변: 아니요! 이메일의 링크를 절대 클릭해서는 안 됩니다.
조사를 하고 이러한 이메일이 얼마나 실제처럼 보이는지, 그리고 어떻게 심리적 편향과 소음을 사용하여 당신의 눈과 뇌를 속이는지에 대해 스스로 교육하세요.
KnowBe4는 직원 보안 교육을 제공하는 회사로, 피싱 공격을 식별하고 피하는 방법에 대한 유용한 무료 정보를 많이 제공합니다.
저는 개인적으로 비트코인 회사의 링크를 클릭하는 일이 거의 없습니다. 사이트에 직접 가서 로그인하세요. 약간의 추가 노력이 더 큰 보안과 잠재적으로 악의적인 링크의 위험을 피하는 데 가치가 있습니다.
중앙화된 거래소와 함께 CYA하는 방법
항상 그렇듯이, 당신의 키가 없다면 당신의 코인도 없습니다. 진정으로 분산화되려면, 비트코인을 거래소에서 빼내어 자가 보관해야 합니다.
이것은 단순히 비트코인 회사 문제만이 아닙니다. 그러나 제가 다른 글에서 쓰고 있는 것처럼, 그리고 이 시점에서 분명해야 할 사항은 비트코인 사용자들이 타겟이라는 것입니다.
보안 및 개인 정보에 대한 경각심
이러한 유출 사건들은 당신의 디지털 생활의 모든 영역에서 보안에 대한 경각심을 가져야 한다는 신호입니다.
그리고 당신은 이제 개인 정보 보호에 대해 신경 쓰고 있다는 것을 깨달았습니다.
이를 위해 KYC를 하지 않거나 일부 개인 정보를 보유하지 않는 서비스로 이동하는 것을 선택할 수 있습니다.
Hubspot 유출에 대한 보다 자세한 정보는 Robert Warren의 “Hubspot 비트코인 회사 데이터 유출이 당신에게 의미하는 것(좋지 않음)”을 참조하세요.
이 글은 Heidi Porter의 게스트 포스트입니다. 표현된 의견은 전적으로 그들의 것이며 BTC Inc 또는 Bitcoin Magazine의 의견을 반드시 반영하지는 않습니다.
