Új szuperkoalíció alakult a kriptotárcák biztonságának erősítése érdekében
A SEAL, egy nonprofit IT biztonsági szervezet október 22-én valós idejű adathalász-védelmi hálózatot indított a MetaMask, a WalletConnect, a Backpack és a Phantom együttműködésével.
A koalíció a Verifiable Phishing Reports technológiát alkalmazza, amely lehetővé teszi a felhasználók számára, hogy kriptográfiailag hitelesített bizonyítékokat nyújtsanak be a rosszindulatú webhelyekről, ezáltal megkerülve a manuális ellenőrzés szűk keresztmetszetét, amely lehetővé teszi a drainerek számára, hogy az infrastruktúrát gyorsabban cseréljék, mint ahogy a védelem reagálni tudna.
A CertiK közzétett jelentése szerint szeptember 30-ig körülbelül 538 millió dollárt loptak el adathalász támadásokkal. Ez a becslés nem tartalmazza a februárban a Bybit ellen elkövetett 1,4 milliárd dolláros támadást.
Ez az együttműködés egy korábban sorozatban már bevezetett védelmi intézkedést követ, amely során a támadók minden egyes újonnan bevezett védekezési intézkedéshez alkalmazkodtak.
Amikor a SEAL felgyorsította az eth-phishing-detect frissítéseit, a hackerek gyakrabban cserélték a céloldalakat. Amikor az infrastruktúra-szolgáltatók blokkolták a visszaéléssel vádolt tárhelyeket, azok offshore új szolgáltatásokra váltottak. Amikor a SEAL automatizált szkennelést vezetett be a Phishing Bot segítségével, a drainerek álcázási és ujjlenyomat-elhárítási intézkedéseket alkalmaztak, hogy elkerüljék a lebukást.
Az eredmény egy fegyverkezési verseny lett, amely a támadók javára dőlt el, akik megtartották a kezdeményezést, míg a védelem nehezen tudta velük a lépést.
A Verifiable Phishing Reporter megváltoztatja a működési modellt. A felhasználók most olyan jelentéseket nyújtanak be, amelyek tartalmazzák a gyanús adathalász webhely által szolgáltatott pontos tartalmat, valamint egy TLS-igazolást, amely bizonyítja, hogy a tartalom nem hamis.
A SEAL ezeket a bejelentéseket valós időben, manuális válogatás nélkül dolgozza fel, megkerülve azokat az álcázási technikákat, amelyek elrejtik a rosszindulatú tartalmakat az automatizált szkennerek elől.
A koalíció az ellenőrzött jelentéseket egy végpontok közötti észlelési rendszerbe továbbítja, amely blokkolja a phishing domainokat és a kockázatos szerződéses interakciókat a részt vevő tárcákban, így a lokalizált információkat hálózati szintű védelemmé alakítja.
Ohm Shah, a MetaMask biztonsági elemzője kijelentette:
„A drainerek a legtöbb biztonsági kérdés esetében állandó macska-egér játékot játszanak. A SEAL-lel és független kutatóikkal való együttműködés lehetővé teszi a MetaMaskhoz hasonló tárca fejlesztőcsapatok számára, hogy agilisabbak legyenek, és a SEAL kutatásait hatékonyan alkalmazzák a drainerek infrastruktúrájának megzavarására.”
Derek Rein, a WalletConnect technológiai igazgatója hozzátette, hogy a partnerség kiterjeszti a WalletConnect Certified tárcák védelmét, amelyek már most is figyelmeztetik a felhasználókat az ismert csaló webhelyekről.
Kim Persson, a Phantom vezető mérnöke hangsúlyozta, hogy a domain biztonsága és a felhasználók biztonsága továbbra is alapvető prioritás marad.
A siker mérése
A hálózat hatékonysága három pilléren nyugodhat: kevesebb felhasználó veszíti el az eszközeit, gyorsabb a fenyegetések semlegesítése, valamint magas színvonalú az észlelés, amelyet a bevezetés előtti alapértékhez és egy megfelelő kontrollhoz viszonyítva mérnek.
Az elsődleges mutató az aktív felhasználónkénti veszteségarány, például a havi 1000 aktív tárcánkénti, dollárban kifejezett phishing-veszteség, amely a láncon belüli drainer-klaszterek, az áldozatok önbevallásai és a tárca telemetria alapján becsülhető meg.
A sebesség határozza meg a második mérési szintet. A védelemig eltelő idő a medián és a 95. percentilis időtartamot követi nyomon az első ellenőrizhető adathalászati jelentéstől a tárcában megjelenő figyelmeztetésig vagy blokkolásig.
A semlegesítésig eltelő idő külön méri a webvektorokat, a blokkolási listára való felvételről a webhely leállításáig eltelő időt, valamint a láncon belüli vektorokat, ahol a jelentések kockázatos szerződések vagy címek lehallgatását indítják el.
Ezen időközök tartós csökkenése alacsonyabb realizált veszteségekkel kell, hogy korreláljon.
A lefedettség és a minőség alkotja a harmadik pillért. A visszahívás az első áldozattá vált tranzakció előtt jelzett ismert adathalász domainok és címek arányát rögzíti, amelyet független források és az incidens utáni vizsgálatok alapján validálnak.
További minőségellenőrzések közé tartozik az érvényes TLS-tanúsítványokkal alátámasztott hálózati műveletek aránya, a jelentők közötti duplikációk aránya, valamint az első tanúsítás utáni domain élettartam mediánja.
A viselkedési mutatók azt mutatják, hogy a védelmi intézkedések megváltoztatják-e a felhasználók viselkedését. Az eltérítési arány a kockázatos műveletek feladásához vezető figyelmeztetések számát osztja el a megjelenített figyelmeztetések teljes számával, míg a blokkolt jel aránya a leállított tranzakciókat számolja.
A szervezet további tárca szolgáltatókat is vár a hálózatba való csatlakozásra, és ösztönzi az IT biztonsági elemzőket és a felhasználókat, hogy a webhelyén elérhető Verifiable Phishing Reporter kliensen keresztül járuljanak hozzá a munkához.