В отличие от российских и северокорейских шифровальщиков, которые обычно только стремятся к деньгам, члены банды Comm, как правило, хотят привлечь внимание и наслаждаются духом шалости.
Авторы: Бен Вайс, Джефф Джон Робертс
Перевод: Лаффи, Foresight News
!
Соучредитель и генеральный директор Coinbase Брайан Армстронг выступил с речью на мероприятии в Бангалоре, Индия, в 2022 году
15 мая 2025 года Coinbase раскрыла, что личные данные десятков тысяч клиентов были украдены, что является крупнейшим инцидентом безопасности в истории компании, и, как ожидается, приведет к убыткам в размере до 400 миллионов долларов. Этот утечка данных привлекает внимание не только своим масштабом, но и методом атаки хакеров: подкуп сотрудников службы поддержки клиентов за границей для получения конфиденциальной информации о клиентах.
Coinbase открыто заявила, что выплатит 20 миллионов долларов вознаграждения информаторам, которые предоставят подсказки и помогут в аресте и осуждении преступников, но о личности нападающих или деталях хакерской атаки сообщается очень мало.
Недавнее исследование журнала «Форбс» (включающее изучение электронных писем между Coinbase и одним Хакером) раскрыло новые детали этого инцидента, подразумевая, что за него частично ответственна неформальная сеть молодых Хакеров, говорящих по-английски. В то же время, результаты расследования также подчеркивают, что так называемое BPO (единицы бизнес-процессов аутсорсинга) является слабым звеном в области безопасности технологических компаний.
Внутренний шпион: аутсорсинг обслуживания клиентов становится уязвимой точкой
История начинается с небольшой публичной компании TaskUs, расположенной в Нью-Браунфелсе, штат Техас. Как и другие компании по аутсорсингу, она предоставляет услуги клиентской поддержки крупным технологическим компаниям, нанимая сотрудников за границей для снижения затрат. По словам представителя компании, в январе этого года TaskUs уволила 226 сотрудников, работающих на Coinbase, из своего центра обслуживания в Индоре, Индия.
Согласно документам, поданным в Комиссию по ценным бумагам и биржам США, с 2017 года TaskUs предоставляет сотрудниками службы поддержки для Coinbase, что позволяет этому американскому шифрования гиганту сэкономить значительные затраты на труд. Но проблема в том, что когда клиенты отправляют электронные письма с вопросами о своих счетах или новых продуктах Coinbase, они, вероятно, общаются с сотрудниками TaskUs за границей. Поскольку зарплаты этих агентов ниже, чем у сотрудников в США, их легче подкупить.
«Ранее в этом году мы обнаружили, что два человека незаконно получили доступ к информации одного из наших клиентов», — сообщил представитель TaskUs журналу Fortune, — «Мы считаем, что эти двое были наняты в рамках более широкого организованного преступления против Coinbase, которое также затронуло многих других поставщиков услуг, предоставляемых Coinbase.»
Согласно регуляторным документам Coinbase, TaskUs уволила сотрудников в январе этого года, за месяц до того, как Coinbase обнаружила кражу данных клиентов (примечание: Coinbase обнаружила утечку данных в декабре 2024 года). Во вторник в Нью-Йорке был подан федеральный коллективный иск от имени клиентов Coinbase, в котором утверждается, что TaskUs проявила небрежность в защите данных клиентов. «Хотя мы не можем комментировать иск, мы считаем, что эти обвинения безосновательны, и будем защищать себя», — заявил представитель TaskUs. «Мы ставим защиту данных клиентов на высший приоритет и будем продолжать укреплять наши глобальные протоколы безопасности и программы обучения.»
Один информированный источник, знакомый с этим инцидентом безопасности, сообщил, что Хакер также успешно атаковал некоторые другие BPO компании, и природа украденных данных различалась в каждом случае.
Украденных данных было недостаточно для хакеров, чтобы взломать криптохранилища Coinbase, но они предоставили множество информации, чтобы помочь преступникам замаскироваться под фальшивую службу поддержки клиентов Coinbase, чтобы связаться с клиентами и убедить их передать свои криптоактивы. Компания заявила, что хакеры украли данные более 69 000 клиентов, но не сообщила, сколько из них стали жертвами так называемого «мошенничества с социальной инженерией». В этом случае в мошенничестве с социальной инженерией преступники использовали украденные данные, чтобы выдать себя за сотрудников Coinbase, чтобы убедить жертв перевести свои криптоактивы.
«Как мы уже сообщали, недавно мы обнаружили, что злоумышленник запросил у службы поддержки зарубежных клиентов информацию о счетах клиентов, начиная с декабря 2024 года», — говорится в заявлении Coinbase. Мы уведомили пострадавших пользователей и регулирующие органы, прекратили контакт с персоналом TaskUs, участвующим в деле, и другими зарубежными службами поддержки клиентов, а также усилили контроль». В заявлении также добавлено, что компенсация выплачивается клиентам, потерявшим свои средства в результате мошенничества.
Мошенничество с социальным инженерией, выдавая себя за представителей компаний, не ново, но масштаб атак на BPO компании со стороны Хакеров довольно редок. Хотя никто еще не указал на преступников, некоторые улики сильно указывают на неформальную группу молодых Хакеров, говорящих на английском.
Молодежные хакерские группировки: «Они пришли из видеоигр»
Через несколько дней после того, как в середине мая стало известно об утечке данных Coinbase, журнал Fortune поговорил в Telegram с человеком, который назвал себя «напыщенной стороной», утверждавшей, что является одним из хакеров.
Еще два специалиста по безопасности, которые общались с этим анонимным Хакером, сообщили журналу «Фортуна», что считают его заслуживающим доверия. Один из них сказал: «Исходя из того, что он поделился со мной, я серьезно проанализировал его утверждения и не смог найти доказательства их ложности». Оба исследователя попросили остаться анонимными, так как они опасаются получить повестку из-за общения с предполагаемым Хакером.
В ходе общения этот человек поделился множеством скриншотов, утверждая, что это электронная переписка с командой безопасности Coinbase. Имя, которое он использовал при общении с Coinbase, было «Lennard Schroeder». Он также поделился скриншотом аккаунта бывшего руководителя Coinbase, на котором отображались шифрование сделок и множество личных данных.
Coinbase не отрицал подлинность этих скриншотов.
Это электронное письмо, которое, как утверждает, отправил Хакер, содержит угрозу вымогательства в 20 миллионов долларов в биткойнах (Coinbase отказалась платить), а также насмешливый комментарий о том, что преступная группа планирует использовать часть похищенных средств, чтобы купить волосы для лысого генерального директора компании Брайана Армстронга. «Мы готовы спонсировать операцию по пересадке волос, чтобы он мог стильно путешествовать по миру», — написал Хакер.
В сообщении Telegram этот человек (по информации издания «Фортун» от одного из исследователей безопасности) выразил презрение к Coinbase.
Многие кражи криптовалюты были совершены российскими преступными группировками или северокорейскими военными, но взлом предположительно был осуществлен свободной коалицией подростков и 20-летних, известной как «Comm» или «Com».
В последние два года сообщения о группе Comm появились в других медиа-репортажах о Хакерских инцидентах, включая статью в «Нью-Йорк Таймс» ранее в этом месяце, в которой один из подозреваемых в осуществлении серии краж шифрования заявил, что он является членом этой организации. По данным «Уолл Стрит Джорнел», в 2023 году следователи установили, что хакеры, относящиеся к этой организации, атаковали несколько онлайн-казино в Лас-Вегасе и пытались вымогать 30 миллионов долларов у курорта MGM.
В отличие от российских и северокорейских шифровальных Хакеров, которые обычно стремятся только к деньгам, члены группы Comm часто хотят привлечь внимание и испытывают удовольствие от шуток. Они иногда сотрудничают в проведении хакерских атак, но также конкурируют друг с другом, чтобы увидеть, кто украдет больше.
«Они пришли из видеоигр и принесли свои высокие очки в реальный мир», — сказал директор по расследованиям компании по шифрованию судебной экспертизы Cryptoforensic Investigators Джош Купер-Дакетт, — «в этом мире их очки — это сколько денег они украли.»
В сообщении Telegram этот так называемый Хакер заявил, что члены Comm специально отвечают за различные этапы ограбления. Его команда подкупает службы поддержки и собирает данные клиентов, а затем передает эти данные другим членам команды, которые хорошо разбираются в социальных инженерных схемах. Они добавили, что разные аффилированные группы Comm координируют, как выполнять различные части действий, и распределяют награбленное на социальных платформах, таких как Telegram и Discord.
Основатель компании по шифрованию Tracelon Серджио Гарсия рассказал журналу «Форбс», что описание нападения хакеров на Coinbase соответствует его наблюдениям за тем, как действует банда Comm и другими схемами социальной инженерии в области шифрования. По словам информированных источников, недавно атакующие клиентов в социальной инженерии говорили на чистом североамериканском английском.
По словам информированного источника о зарплатах сотрудников BPO, месячная зарплата сотрудников TaskUs в Индии составляет от 500 до 700 долларов. TaskUs отказался комментировать. Гарсия сообщил журналу Fortune, что, несмотря на то, что эта цифра выше среднего валового внутреннего продукта Индии, низкие зарплаты в сфере обслуживания клиентов часто делают их более склонными к принятию взяток. «Очевидно, это самое слабое звено в цепочке, потому что у них есть экономический стимул принимать взятки», — добавил он.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Инсайд о утечке данных Coinbase: Индийский колл-центр и молодежная хакерская группа
Авторы: Бен Вайс, Джефф Джон Робертс
Перевод: Лаффи, Foresight News
!
Соучредитель и генеральный директор Coinbase Брайан Армстронг выступил с речью на мероприятии в Бангалоре, Индия, в 2022 году
15 мая 2025 года Coinbase раскрыла, что личные данные десятков тысяч клиентов были украдены, что является крупнейшим инцидентом безопасности в истории компании, и, как ожидается, приведет к убыткам в размере до 400 миллионов долларов. Этот утечка данных привлекает внимание не только своим масштабом, но и методом атаки хакеров: подкуп сотрудников службы поддержки клиентов за границей для получения конфиденциальной информации о клиентах.
Coinbase открыто заявила, что выплатит 20 миллионов долларов вознаграждения информаторам, которые предоставят подсказки и помогут в аресте и осуждении преступников, но о личности нападающих или деталях хакерской атаки сообщается очень мало.
Недавнее исследование журнала «Форбс» (включающее изучение электронных писем между Coinbase и одним Хакером) раскрыло новые детали этого инцидента, подразумевая, что за него частично ответственна неформальная сеть молодых Хакеров, говорящих по-английски. В то же время, результаты расследования также подчеркивают, что так называемое BPO (единицы бизнес-процессов аутсорсинга) является слабым звеном в области безопасности технологических компаний.
Внутренний шпион: аутсорсинг обслуживания клиентов становится уязвимой точкой
История начинается с небольшой публичной компании TaskUs, расположенной в Нью-Браунфелсе, штат Техас. Как и другие компании по аутсорсингу, она предоставляет услуги клиентской поддержки крупным технологическим компаниям, нанимая сотрудников за границей для снижения затрат. По словам представителя компании, в январе этого года TaskUs уволила 226 сотрудников, работающих на Coinbase, из своего центра обслуживания в Индоре, Индия.
Согласно документам, поданным в Комиссию по ценным бумагам и биржам США, с 2017 года TaskUs предоставляет сотрудниками службы поддержки для Coinbase, что позволяет этому американскому шифрования гиганту сэкономить значительные затраты на труд. Но проблема в том, что когда клиенты отправляют электронные письма с вопросами о своих счетах или новых продуктах Coinbase, они, вероятно, общаются с сотрудниками TaskUs за границей. Поскольку зарплаты этих агентов ниже, чем у сотрудников в США, их легче подкупить.
«Ранее в этом году мы обнаружили, что два человека незаконно получили доступ к информации одного из наших клиентов», — сообщил представитель TaskUs журналу Fortune, — «Мы считаем, что эти двое были наняты в рамках более широкого организованного преступления против Coinbase, которое также затронуло многих других поставщиков услуг, предоставляемых Coinbase.»
Согласно регуляторным документам Coinbase, TaskUs уволила сотрудников в январе этого года, за месяц до того, как Coinbase обнаружила кражу данных клиентов (примечание: Coinbase обнаружила утечку данных в декабре 2024 года). Во вторник в Нью-Йорке был подан федеральный коллективный иск от имени клиентов Coinbase, в котором утверждается, что TaskUs проявила небрежность в защите данных клиентов. «Хотя мы не можем комментировать иск, мы считаем, что эти обвинения безосновательны, и будем защищать себя», — заявил представитель TaskUs. «Мы ставим защиту данных клиентов на высший приоритет и будем продолжать укреплять наши глобальные протоколы безопасности и программы обучения.»
Один информированный источник, знакомый с этим инцидентом безопасности, сообщил, что Хакер также успешно атаковал некоторые другие BPO компании, и природа украденных данных различалась в каждом случае.
Украденных данных было недостаточно для хакеров, чтобы взломать криптохранилища Coinbase, но они предоставили множество информации, чтобы помочь преступникам замаскироваться под фальшивую службу поддержки клиентов Coinbase, чтобы связаться с клиентами и убедить их передать свои криптоактивы. Компания заявила, что хакеры украли данные более 69 000 клиентов, но не сообщила, сколько из них стали жертвами так называемого «мошенничества с социальной инженерией». В этом случае в мошенничестве с социальной инженерией преступники использовали украденные данные, чтобы выдать себя за сотрудников Coinbase, чтобы убедить жертв перевести свои криптоактивы.
«Как мы уже сообщали, недавно мы обнаружили, что злоумышленник запросил у службы поддержки зарубежных клиентов информацию о счетах клиентов, начиная с декабря 2024 года», — говорится в заявлении Coinbase. Мы уведомили пострадавших пользователей и регулирующие органы, прекратили контакт с персоналом TaskUs, участвующим в деле, и другими зарубежными службами поддержки клиентов, а также усилили контроль». В заявлении также добавлено, что компенсация выплачивается клиентам, потерявшим свои средства в результате мошенничества.
Мошенничество с социальным инженерией, выдавая себя за представителей компаний, не ново, но масштаб атак на BPO компании со стороны Хакеров довольно редок. Хотя никто еще не указал на преступников, некоторые улики сильно указывают на неформальную группу молодых Хакеров, говорящих на английском.
Молодежные хакерские группировки: «Они пришли из видеоигр»
Через несколько дней после того, как в середине мая стало известно об утечке данных Coinbase, журнал Fortune поговорил в Telegram с человеком, который назвал себя «напыщенной стороной», утверждавшей, что является одним из хакеров.
Еще два специалиста по безопасности, которые общались с этим анонимным Хакером, сообщили журналу «Фортуна», что считают его заслуживающим доверия. Один из них сказал: «Исходя из того, что он поделился со мной, я серьезно проанализировал его утверждения и не смог найти доказательства их ложности». Оба исследователя попросили остаться анонимными, так как они опасаются получить повестку из-за общения с предполагаемым Хакером.
В ходе общения этот человек поделился множеством скриншотов, утверждая, что это электронная переписка с командой безопасности Coinbase. Имя, которое он использовал при общении с Coinbase, было «Lennard Schroeder». Он также поделился скриншотом аккаунта бывшего руководителя Coinbase, на котором отображались шифрование сделок и множество личных данных.
Coinbase не отрицал подлинность этих скриншотов.
Это электронное письмо, которое, как утверждает, отправил Хакер, содержит угрозу вымогательства в 20 миллионов долларов в биткойнах (Coinbase отказалась платить), а также насмешливый комментарий о том, что преступная группа планирует использовать часть похищенных средств, чтобы купить волосы для лысого генерального директора компании Брайана Армстронга. «Мы готовы спонсировать операцию по пересадке волос, чтобы он мог стильно путешествовать по миру», — написал Хакер.
В сообщении Telegram этот человек (по информации издания «Фортун» от одного из исследователей безопасности) выразил презрение к Coinbase.
Многие кражи криптовалюты были совершены российскими преступными группировками или северокорейскими военными, но взлом предположительно был осуществлен свободной коалицией подростков и 20-летних, известной как «Comm» или «Com».
В последние два года сообщения о группе Comm появились в других медиа-репортажах о Хакерских инцидентах, включая статью в «Нью-Йорк Таймс» ранее в этом месяце, в которой один из подозреваемых в осуществлении серии краж шифрования заявил, что он является членом этой организации. По данным «Уолл Стрит Джорнел», в 2023 году следователи установили, что хакеры, относящиеся к этой организации, атаковали несколько онлайн-казино в Лас-Вегасе и пытались вымогать 30 миллионов долларов у курорта MGM.
В отличие от российских и северокорейских шифровальных Хакеров, которые обычно стремятся только к деньгам, члены группы Comm часто хотят привлечь внимание и испытывают удовольствие от шуток. Они иногда сотрудничают в проведении хакерских атак, но также конкурируют друг с другом, чтобы увидеть, кто украдет больше.
«Они пришли из видеоигр и принесли свои высокие очки в реальный мир», — сказал директор по расследованиям компании по шифрованию судебной экспертизы Cryptoforensic Investigators Джош Купер-Дакетт, — «в этом мире их очки — это сколько денег они украли.»
В сообщении Telegram этот так называемый Хакер заявил, что члены Comm специально отвечают за различные этапы ограбления. Его команда подкупает службы поддержки и собирает данные клиентов, а затем передает эти данные другим членам команды, которые хорошо разбираются в социальных инженерных схемах. Они добавили, что разные аффилированные группы Comm координируют, как выполнять различные части действий, и распределяют награбленное на социальных платформах, таких как Telegram и Discord.
Основатель компании по шифрованию Tracelon Серджио Гарсия рассказал журналу «Форбс», что описание нападения хакеров на Coinbase соответствует его наблюдениям за тем, как действует банда Comm и другими схемами социальной инженерии в области шифрования. По словам информированных источников, недавно атакующие клиентов в социальной инженерии говорили на чистом североамериканском английском.
По словам информированного источника о зарплатах сотрудников BPO, месячная зарплата сотрудников TaskUs в Индии составляет от 500 до 700 долларов. TaskUs отказался комментировать. Гарсия сообщил журналу Fortune, что, несмотря на то, что эта цифра выше среднего валового внутреннего продукта Индии, низкие зарплаты в сфере обслуживания клиентов часто делают их более склонными к принятию взяток. «Очевидно, это самое слабое звено в цепочке, потому что у них есть экономический стимул принимать взятки», — добавил он.