BTC
$0.00
0.00%
私の名前はセルジュ・フィロソファーです。私は調査報道記者ですが、ソーシャルエンジニアリングを用いた史上最大の仮想通貨盗難に関するこの記事は、いまだに公開されていません。しかし、その経緯を順を追って説明しましょう。
ここ2年間、ある経済誌の記事テーマに取り組んでおり、ついに情報を提供してくれる人物にたどり着きました。しかし、その人物は最近スペインに移住していたことが判明し、彼と会い、仮想通貨詐欺の分野における彼の活動の詳細を知るために、私はロンドンからアリカンテ県のトレヴィエハ市へと向かうルートを組む必要がありました。私たちは、湖と静寂が世界から隔絶された不思議な感覚を生み出す、居心地の良い場所――ラグナス・デ・ラ・マタ・イ・トレビエハ――で会うことにした。
そこで、スクープを掴むために、私はチケットを購入し、「古い塔」を意味するこの街へと旅立った。
広葉樹の木陰にある居心地の良いカフェで、マイケル(かつては暗号資産の盗難を専門とする国際的なグループの一員だった)は、多要素認証をプログラムコードではなく、単なる信頼の悪用によっていかに回避できるかを説明してくれた。
最も注目を集めた暗号資産盗難事件について語る中で、彼は次のように指摘した。Ronin Network(6億2500万ドル)、BNB Bridge(5億6900万ドル)、Poly Network(6億1100万ドル)への攻撃は、彼らのハッカー集団が他人の暗号資産口座から引き出した金額に比べれば「ほんの序の口」に過ぎない。
「どんなシステムでも最も脆弱な部分は人間だ。そして、いかなる暗号資産システムも例外ではない」と、彼は自身の「仕事」のいくつかのニュアンスについて熱を込めて語った。
その手口は常に説得力のあるものだった。まず、被害者にはテクニカルサポートを名乗る人物から連絡が入る。次のステップは「相談」への招待だった。メールは電子メールで送られてきたが、複数のアドレスにCCが入れられており、公式なものであり、状況を完全に掌握しているかのような錯覚を与えた。実際には、これらのアドレスは似てはいたものの、すべて架空のものだった。
その後、詐欺スキームの重要な段階が始まった。被害者には、オンラインプラットフォームへの接続手順が記載された文書が送付された。これらはすべて、標準的なセキュリティ手順のように見えた。しかし実際には、このパスワードによってアカウントへの完全なアクセス権が与えられ、それを通じてすべての口座にアクセスできるようになっていた。このキャンペーンは数週間、数ヶ月、時には数年にもわたって継続することがありました。
Google Threat Intelligence Groupの研究者によると、ハッカーがソーシャルエンジニアリングを用いて、被害者にアプリや暗号資産ウォレットのパスワードを作成・送信させるようなキャンペーンも確認されています。その後、サイバーセキュリティの専門家たちは、攻撃の精巧さから、仮想通貨の窃取に政府系組織が関与しているとの結論を導き出し始めていた。そして、すべての手がかりは旧ソ連圏の国の一つへとつながっていた。
私が英国に戻った際、空港で全く目立たない男に呼び止められた。「記事の公開を半年延期しろ」と、彼は断固とした口調で、しかし穏やかに言った。私はその秘密情報機関のエージェントを知っていた。だからこそ、ソーシャルエンジニアリングを用いて行われた史上最大級の仮想通貨窃盗事件を暴くこの記事は、いまだに公表されていない。
