Tin đồn về việc quyền truy cập vào hệ thống hỗ trợ khách hàng nội bộ của Kraken đang được rao bán trên một diễn đàn dark web lan truyền trên X, nhưng bằng chứng về vụ xâm nhập hiện vẫn chưa được xác thực độc lập.
Các cáo buộc tập trung vào nguy cơ lộ dữ liệu KYC và việc kẻ xấu có thể lợi dụng công cụ hỗ trợ để tạo ticket nhằm lừa đảo. Trong bối cảnh ngành tiền điện tử liên tiếp ghi nhận các vụ tấn công bằng social engineering nhắm vào bộ phận CSKH, thông tin này khiến cộng đồng đặc biệt chú ý.
- Tin rao bán “quyền truy cập chỉ đọc” vào bảng điều khiển hỗ trợ nội bộ của Kraken đang lan truyền, nhưng chưa có xác nhận độc lập.
- Nếu là thật, quyền truy cập có thể cho phép xem hồ sơ, lịch sử giao dịch và tài liệu KYC, đồng thời tạo ticket để lừa đảo.
- Các vụ social engineering trước đó từng gây rò rỉ dữ liệu tại Coinbase, trong khi Kraken và Binance nói đã triển khai giám sát và hạn chế truy cập theo lớp.
Cáo buộc rao bán quyền truy cập hệ thống hỗ trợ nội bộ của Kraken vẫn chưa được kiểm chứng
Các bài đăng theo dõi hoạt động web cho rằng một phiên bản “chỉ đọc” của bảng hỗ trợ nội bộ Kraken đang được chào bán với giá thấp, nhưng hiện chưa có bằng chứng độc lập xác nhận vụ rò rỉ hay Kraken bị xâm nhập.
Một tài khoản theo dõi hoạt động web có tên Dark Web Informer nói rằng quyền truy cập vào bảng hỗ trợ nội bộ của Kraken đang “được rao bán”, mức giá được đề cập là 1 USD và “có thể thương lượng”.
Ảnh chụp màn hình diễn đàn dark web cho thấy người dùng “ransomcharger” tuyên bố quyền truy cập có thể cho phép xem hồ sơ người dùng và lịch sử giao dịch. Tài khoản này cũng ám chỉ có thể tạo ticket hỗ trợ để triển khai phishing hoặc tìm cách trích xuất thông tin riêng tư.
Ở thời điểm công bố, các chi tiết về phương thức xâm nhập, phạm vi ảnh hưởng và việc dữ liệu có thật sự bị truy cập hay không chưa được xác minh. Cũng chưa có xác nhận độc lập nào khác củng cố cáo buộc, và nhóm hỗ trợ của Kraken không thừa nhận hệ thống nội bộ bị thỏa hiệp.
Nếu đúng, quyền truy cập có thể làm lộ tài liệu KYC và tồn tại 1–2 tháng
Theo nội dung rao bán, quyền truy cập bị cáo buộc có thể không bị giới hạn theo IP, chạy qua hệ thống của Kraken và có thể truy xuất tài liệu KYC đầy đủ; thời hạn hiệu lực được nói là khoảng 1–2 tháng trước khi bị xoay vòng.
Người rao bán được cho là quảng cáo quyền truy cập không bị khóa theo địa chỉ IP và được proxy qua chính hệ thống Kraken. Điều này, nếu xảy ra thật, có thể khiến việc phát hiện từ phía nạn nhân khó hơn vì lưu lượng có thể trông “hợp lệ” ở một số góc nhìn vận hành.
Danh mục dữ liệu có thể truy xuất được mô tả gồm hồ sơ KYC đầy đủ như giấy tờ định danh, ảnh selfie, bằng chứng địa chỉ và nguồn tiền khai báo. Đây là nhóm dữ liệu nhạy cảm, thường bị tội phạm mạng khai thác để chiếm đoạt tài khoản, mở tài khoản giả mạo hoặc tấn công lừa đảo có chủ đích.
Liên kết được chia sẻ trên X về cáo buộc này nằm tại bài đăng về “quyền truy cập”. Thông tin kèm theo nói quyền truy cập có thể còn hiệu lực ít nhất 1–2 tháng trước khi被 xoay vòng, và mã xác thực theo thời gian được đề cập sẽ hết hạn vào tháng 2.
Social engineering từng khiến Coinbase rò rỉ dữ liệu, còn Kraken và Binance nói đã ngăn chặn
Một chiến dịch social engineering trước đó từng dẫn đến rò rỉ dữ liệu khách hàng tại Coinbase; trong khi đó, Kraken và Binance cho biết họ đã dùng cơ chế hạn chế truy cập theo lớp và giám sát theo thời gian thực để ngăn chặn các nỗ lực tương tự.
Trong một chiến dịch được nói là nhắm vào nhiều sàn, kẻ tấn công liên hệ với nhân viên hỗ trợ khách hàng và dụ dỗ bằng hối lộ để đổi lấy dữ liệu người dùng. Coinbase CEO Brian Armstrong cho biết một số nhân sự chăm sóc khách hàng ở nước ngoài đã nhận hối lộ và cung cấp thông tin như tên, địa chỉ, một phần hồ sơ KYC và số dư tài khoản.
Theo những người am hiểu điều tra được trích dẫn trong thông tin công khai, kẻ tấn công sau đó tìm cách tống tiền Coinbase, yêu cầu 20 triệu USD để đổi lấy việc xóa dữ liệu đã đánh cắp. Coinbase từ chối chi trả và thông báo cho cơ quan thực thi pháp luật.
Thiệt hại tiềm năng của Coinbase được ước tính có thể lên tới 400 triệu USD. Với Kraken và Binance, nỗ lực social engineering được nói là đã bị vô hiệu nhờ hạn chế truy cập nhiều lớp và giám sát tương tác hỗ trợ theo thời gian thực.
Binance từng cho biết họ dùng hệ thống AI để theo dõi hội thoại giữa nhân viên hỗ trợ và người dùng bằng nhiều ngôn ngữ, có thể gắn cờ hành vi đáng ngờ như dấu hiệu hối lộ và tự động chấm dứt liên lạc khi phát hiện rủi ro. Kraken cũng nói họ có các biện pháp nội bộ nhằm hạn chế truy cập không cần thiết vào dữ liệu khách hàng và theo dõi hoạt động bất thường trong hệ thống.
“Ở hậu trường, còn có AI, machine learning và một số phân tích khác diễn ra một cách ‘trong suốt’ với người dùng để đánh giá mọi thứ có đang đúng như kỳ vọng không. Có những lúc đội ngũ của chúng tôi có thể can thiệp sớm và chặn các kiểu tấn công đó. Có những kiểm soát mà bạn, với tư cách người dùng, có thể tự sử dụng; và có những kiểm soát bạn không cần làm gì cả, dựa trên hành vi và hoạt động, chúng tôi có thể can thiệp và ‘cứu’.”
– Nick Percoco, Giám đốc An ninh (Chief Security Officer)
Cơ quan chức năng bắt giữ liên quan các vụ mạo danh nhắm vào khách hàng Coinbase
Coinbase cho biết đã phối hợp với cơ quan chức năng để bắt giữ một cựu nhân viên CSKH tại Ấn Độ và truy tố một nghi phạm tại Brooklyn trong một kế hoạch mạo danh kéo dài, gây thiệt hại gần 16 triệu USD cho khoảng 100 nạn nhân.
Coinbase CEO Armstrong thông tin công khai rằng một cựu nhân viên dịch vụ khách hàng của sàn đã bị bắt tại Ấn Độ, nhiều tháng sau khi người này bị cáo buộc đã tạo điều kiện để hacker tiếp cận dữ liệu khách hàng. Người phát ngôn Coinbase xác nhận vụ bắt giữ và cho biết đây là kết quả phối hợp với cơ quan thực thi pháp luật tại nhiều khu vực pháp lý.
Văn phòng Công tố quận Brooklyn cũng công bố cáo buộc với một người đàn ông ở Brooklyn bị nghi là kẻ điều phối “kế hoạch mạo danh kéo dài” nhằm vào khách hàng Coinbase tại Mỹ. Theo cáo trạng, nghi phạm giả danh đại diện Coinbase, dùng social engineering khiến nạn nhân tin rằng tài khoản gặp rủi ro khẩn cấp.
Bộ Tư pháp Mỹ cho biết nghi phạm đã hướng dẫn nạn nhân chuyển tiền sang các ví do hắn kiểm soát, chiếm đoạt gần 16 triệu USD từ khoảng 100 nạn nhân. Đến nay đã thu hồi lại hơn 600.000 USD.
Những câu hỏi thường gặp
Cáo buộc rao bán quyền truy cập hệ thống nội bộ Kraken đã được xác nhận chưa?
Chưa. Thông tin đang lan truyền trên X dựa trên ảnh chụp và mô tả từ một nguồn theo dõi hoạt động web, nhưng hiện vẫn thiếu xác nhận độc lập và Kraken cũng chưa công nhận hệ thống nội bộ bị thỏa hiệp.
Nếu quyền truy cập “chỉ đọc” vào bảng hỗ trợ Kraken là thật, rủi ro lớn nhất là gì?
Rủi ro lớn nhất là lộ dữ liệu nhạy cảm, đặc biệt tài liệu KYC như giấy tờ định danh, selfie, bằng chứng địa chỉ và nguồn tiền khai báo, cùng khả năng bị lợi dụng để tạo ticket hỗ trợ phục vụ phishing.
Vì sao các sàn tiền điện tử dễ bị social engineering qua bộ phận CSKH?
Vì CSKH thường xử lý yêu cầu khôi phục truy cập, xác minh tài khoản và dữ liệu nhạy cảm. Kẻ tấn công có thể lợi dụng thao túng tâm lý hoặc hối lộ để lấy thông tin, như trường hợp Coinbase từng công bố.
Coinbase cho biết thiệt hại và số tiền bị chiếm đoạt trong các vụ việc liên quan là bao nhiêu?
Coinbase cho biết vụ rò rỉ dữ liệu khiến họ đối mặt khoản lỗ tiềm năng lên tới 400 triệu USD, và một vụ mạo danh nhắm vào khách hàng đã lấy đi gần 16 triệu USD từ khoảng 100 nạn nhân; hiện đã thu hồi hơn 600.000 USD.