Si vous KYC, vous devriez CYA
Ce que nous savons de ce qui s’est passé
Les 10 et 18 mars de cette année ou vers ces dates, deux services tiers ont vu leurs données client Bitcoin compromises :
- l’un était un système de marketing par e-mail appelé ActiveCampaign.
- l’une était une application Web de gestion de la relation client (CRM) appelée HubSpot.
Au total, les deux incidents distincts ont ciblé et accédé aux informations personnelles (IP) de clients appartenant à au moins 31 sociétés Bitcoin. Dans tous les cas, les données compromises comprenaient les noms et adresses e-mail des clients. Dans la plupart des cas, il comprenait également des adresses physiques et des numéros de téléphone. Dans d’autres cas, les données volées comprenaient également une adresse IP, un historique de navigation, un type d’utilisateur et d’autres informations sur le client.
D’après les informations partagées publiquement, un compromis s’est produit via l’ingénierie sociale et un compromis via une attaque de phishing.
Ce que nous ne savons pas encore, c’est si d’autres sociétés Bitcoin ont été compromises via leurs services tiers. D’autres entreprises n’ont peut-être pas encore réalisé que leurs données ont été compromises.
En résumé, il y a toujours eu de mauvais acteurs ciblant les Bitcoiners – il y a également de plus en plus d’attaques contre les sociétés Bitcoin. Les cyberattaques voient leur nombre augmenter considérablement.
KYC signifie « connaissez votre client ». Si vous avez fourni l’une des informations personnelles susmentionnées à une ou plusieurs de ces sociétés Bitcon afin d’acheter du Bitcoin ou pour d’autres services, vos informations personnelles dont la société avait besoin pour connaître son client ont maintenant été compromises.
Le ou les mauvais acteurs qui ont perpétré ces attaques réussies – au minimum – savent maintenant que vous détenez des bitcoins. Il reste à voir comment ils pourraient avoir l’intention de tirer parti de ces informations. Donc, vous devriez couvrir votre… derrière.
Qu’est-ce qu’un service de CRM ou de marketing par e-mail ?
UNE Gestion de la relation client (CRM) système « est un processus dans lequel une entreprise ou une autre organisation administre ses interactions avec les clients. » Salesforce est peut-être l’exemple le plus connu de CRM. Un service de marketing par e-mail comme HubSpot est un moyen simple pour les entreprises d’envoyer par e-mail des newsletters et d’autres informations à différents groupes d’utilisateurs.
Semblable à la façon dont la plupart des gens utilisent diverses applications de productivité numérique pour gérer leurs contacts et leur vie de communication, les entreprises et autres organisations utilisent des CRM et des services de marketing par e-mail pour gérer numériquement leur entreprise. Toutes les entreprises numériques avec lesquelles vous magasinez ou travaillez peuvent également voir ces données personnelles compromises.
Comment pouvez-vous CYA dans le futur
Si vous allez interagir avec une entreprise qui a besoin de KYC et de stocker vos coordonnées, voici mes recommandations sur les étapes minimales que vous devez suivre auprès de CYA :
- E-Mail : Obtenez une adresse e-mail distincte que vous utilisez uniquement pour les services financiers Bitcoin. En cas de compromission des données, obtenez une nouvelle adresse e-mail et mettez à jour ces informations pour TOUS les services Bitcoin.
- Téléphone : obtenez un numéro de téléphone Internet distinct et utilisez-le pour tous les services Bitcoin. Comme pour les adresses e-mail, en cas de compromission des données, modifiez le numéro de téléphone sur tous les services Bitcoin.
- Accès au compte : activez l’authentification multifacteur (MFA) avec une application d’authentification ou une clé matérielle. N’utilisez PAS de SMS/texte pour MFA. (Rappelez-vous, s’ils sont compromis, ils auront votre numéro de téléphone maintenant et pourraient échanger votre carte SIM et vous compromettre).
Utilisez TOUJOURS des mots de passe forts et un gestionnaire de mots de passe et ne réutilisez pas le même mot de passe sur différents services. - Adresse physique : obtenez une boîte postale ou un autre lieu de livraison à utiliser à la place de votre domicile ou de votre lieu de travail.
Certaines personnes utilisent même un système de bureau totalement séparé pour les interactions de service Bitcoin.
Vous pourriez également bénéficier de l’examen des conseils de sécurité que j’ai décrits dans « Bitcoin OpSec Tips From Casa Keyfest ».
Comment pouvez-vous CYA si vos données ont été compromises
Fondamentalement, suivez les étapes ci-dessus et modifiez ce que vous pouvez dans le profil de votre entreprise Bitcoin et les informations d’identification de votre compte – MAINTENANT.
Vous saurez alors que le futur contact de l’entreprise avec l’ancienne adresse e-mail ou numéro de téléphone doit être considéré comme suspect et éventuellement néfaste.
Comment pouvez-vous CYA contre l’ingénierie sociale
Tout d’abord, ne présumez PAS que vous ne tomberiez pas dans le piège d’une attaque d’ingénierie sociale.
L’ingénierie sociale est une méthode sournoise de compromis et elle fera appel à votre désir d’être vu et compris. Si les mauvais acteurs ont vos informations à partir d’un CRM, ils utiliseront des informations sur ce que vous avez parcouru, les achats que vous avez effectués et les conversations passées afin de vous donner l’impression qu’ils ont personnellement connecté avec vous. Ils utiliseront toute vulnérabilité psychologique qu’ils pourront détecter pour vous faire confiance, puis entreprendront une action pouvant entraîner un compromis qui leur procurera un gain financier.
Imaginez que demain vous receviez un appel téléphonique (ingénierie sociale) apparemment de l’un de vos fournisseurs de services Bitcoin, qui vous avertit de l’attaque et vous propose de mettre à jour votre mot de passe sur-le-champ par téléphone. Votre identification de l’appelant indique même qu’il appelle de l’entreprise dont il dit qu’il appelle. Ils ont juste besoin de votre mot de passe actuel pour vous authentifier. Si vous l’avez activé, ils pourraient même dire que vous recevrez une demande d’authentification à 2 facteurs envoyée sur votre téléphone, et bien sûr, vous en recevrez une. Ils vous demanderont de lire le code pour « confirmer votre identité ».
Ce qui se passe réellement, c’est qu’ils ont usurpé l’identification de l’appelant pour donner l’impression qu’ils appellent de cette société. Ils se connectent au site Web en tant que vous et vous leur fournissez toutes les informations dont ils ont besoin pour accéder à votre compte.
Allez toujours directement sur le site Web et apportez-y les modifications de profil.
Comment pouvez-vous CYA contre le phishing par e-mail
Ne présumez PAS que vous êtes techniquement si astucieux que vous ne tomberiez pas dans le piège d’une attaque de spear phishing. Même les gens qui devraient savoir mieux tombent amoureux d’eux tout le temps.
Imaginez que demain vous receviez un e-mail (attaque de phishing), apparemment de l’un de vos fournisseurs de services Bitcoin, qui vous avertit de l’attaque et vous recommande de vous connecter immédiatement pour mettre à jour votre mot de passe, en fournissant un lien de connexion pratique.
Faut-il cliquer sur ce lien ?
Réponse : NON ! Vous ne devez JAMAIS cliquer sur le lien dans un e-mail.
Faites des recherches et renseignez-vous sur leur apparence réelle et sur la façon dont ils utilisent les préjugés psychologiques et le bruit pour tromper vos yeux et votre cerveau.
KnowBe4 est une entreprise qui propose une formation à la sécurité des employés et dispose de nombreuses informations gratuites sur la manière de détecter et d’éviter les attaques de phishing.
Personnellement, je clique rarement, voire jamais, sur les liens des sociétés Bitcoin. Rendez-vous sur le site et connectez-vous directement. Le petit effort supplémentaire vaut la sécurité supplémentaire et évite le risque de compromission des informations personnelles.
Comment vous pouvez CYA avec des échanges centralisés
Comme toujours, pas vos clés, pas vos pièces. Pour être vraiment décentralisé, vous DEVEZ retirer votre Bitcoin de l’échange et le mettre en garde.
Ce n’est pas seulement un problème d’entreprise Bitcoin. Cependant, comme j’écris dans un autre article et quelque chose qui devrait être évident à ce stade, les Bitcoiners sont une cible.
Appel de réveil sur la sécurité et la confidentialité
Ces compromis devraient être un signal d’alarme pour la sécurité dans tous les domaines de votre vie numérique.
Et, vous venez de réaliser que vous vous souciez de la vie privée.
À cette fin, vous pouvez choisir de passer à des services qui ne font pas de KYC et/ou qui ne détiennent pas certaines de vos informations personnelles.
Pour des informations plus détaillées sur la compromission de Hubspot, consultez « What The Hubspot Bitcoin Company Data Breach Means For You (It’s Not Good) » de Robert Warren.
Ceci est un article invité par Heidi Porter. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles de BTC Inc ou Bitcoin Magazine.