Wenn Sie KYC machen, sollten Sie CYA

Was once wir über das Geschehene wissen

Am oder um den 10. und 18. März dieses Jahres wurden die Bitcoin-Kundendaten von zwei Drittanbieterdiensten kompromittiert:

• Eines davon conflict ein E-Mail-Advertising and marketing-Device namens ActiveCampaign.
• Eine davon conflict eine Buyer Courting Supervisor (CRM)-Webanwendung namens HubSpot.

Insgesamt zielten die beiden separaten Vorfälle auf persönliche Informationen (PI) von Kunden ab, die mindestens 31 Bitcoin-Unternehmen angehörten, und griffen darauf zu. In allen Fällen enthielten die kompromittierten Daten die Namen und E-Mail-Adressen der Kunden. In den meisten Fällen enthielt es auch physische Adressen und Telefonnummern. In anderen Fällen enthielten die gestohlenen Daten auch eine IP-Adresse, den Browserverlauf, den Benutzertyp und andere Kundeninformationen.

Aus den öffentlich geteilten Informationen geht hervor, dass eine Kompromittierung über Social Engineering und eine Kompromittierung über einen Phishing-Angriff erfolgte.

Was once wir noch nicht wissen, ist, ob andere Bitcoin-Unternehmen über ihre Dienste von Drittanbietern kompromittiert wurden. Andere Unternehmen haben möglicherweise noch nicht bemerkt, dass ihre Daten kompromittiert wurden.

Zusammenfassend hat es immer wieder Bösewichte gegeben, die auf Bitcoiner abzielen – es gibt auch zunehmend Angriffe auf Bitcoin-Unternehmen. Die Zahl der Cyberangriffe steigt stark an.

KYC bedeutet „kenne deinen Kunden“. Wenn Sie eine oder mehrere der oben genannten personenbezogenen Daten an eines oder mehrere dieser Bitcon-Unternehmen weitergegeben haben, um Bitcoin zu kaufen oder andere Dienstleistungen in Anspruch zu nehmen, sind Ihre personenbezogenen Daten, die das Unternehmen benötigt, um seinen Kunden zu kennen, jetzt kompromittiert worden.

Der oder die schlechten Schauspieler, die diese erfolgreichen Angriffe verübt haben – zumindest – wissen jetzt, dass Sie Bitcoin besitzen. Wie sie diese Informationen nutzen könnten, bleibt abzuwarten. Additionally, du solltest deinen … Hintern bedecken.

Was once zum Teufel ist ein CRM- oder E-Mail-Advertising and marketing-Carrier?

Ein Buyer Courting Control (CRM)-Device „ist ein Prozess, in dem ein Unternehmen oder eine andere Organisation ihre Interaktionen mit Kunden verwaltet.“ Salesforce ist vielleicht das bekannteste Beispiel für ein CRM. Ein E-Mail-Marketingdienst wie HubSpot ist eine einfache Möglichkeit für Unternehmen, Publication und andere Informationen in keeping with E-Mail an verschiedene Benutzergruppen zu senden.

Ähnlich wie die meisten Menschen verschiedene digitale Produktivitäts-Apps verwenden, um ihre Kontakte und ihr Kommunikationsleben zu verwalten, verwenden Unternehmen und andere Organisationen CRMs und E-Mail-Advertising and marketing-Dienste, um ihr Geschäft virtual zu führen. Bei jedem digitalen Unternehmen, mit dem Sie einkaufen oder arbeiten, können diese personenbezogenen Daten ebenfalls kompromittiert werden.

Wie können Sie in Zukunft CYA

Wenn Sie mit einem Unternehmen interagieren, das KYC durchführen und Ihre Kontaktdaten speichern muss, sind dies meine Empfehlungen zu den Mindestschritten, die Sie gegenüber CYA unternehmen sollten:

1. E-Mail: Besorgen Sie sich eine separate E-Mail-Adresse, die Sie nur für Bitcoin-Finanzdienstleistungen verwenden. Wenn es eine Datenkompromittierung gibt, besorgen Sie sich eine neue E-Mail-Adresse und aktualisieren Sie diese E-Mail-Informationen für ALLE Bitcoin-Dienste.
2. Telefon: Holen Sie sich eine separate Internettelefonnummer und verwenden Sie diese für alle Bitcoin-Dienste. Wie bei E-Mail-Adressen ändern Sie bei einer Datenkompromittierung die Telefonnummer bei allen Bitcoin-Diensten.
3. Kontozugriff: Aktivieren Sie die Multifaktor-Authentifizierung (MFA) mit einer Authentifizierungs-App oder einem Hardwareschlüssel. Verwenden Sie KEINE SMS/Textual content für MFA. (Denken Sie daran, wenn sie kompromittiert werden, haben sie jetzt Ihre Telefonnummer und könnten die SIM-Karte austauschen und Sie kompromittieren).
   Verwenden Sie IMMER starke Passwörter und einen Passwortmanager und verwenden Sie dasselbe Passwort nicht für verschiedene Dienste.
4. Physische Adresse: Holen Sie sich ein Postfach oder einen anderen Lieferort, den Sie anstelle Ihrer Privat- oder Arbeitsadresse verwenden können.

Einige Leute verwenden sogar ein völlig separates Desktop-Device für Interaktionen mit Bitcoin-Diensten.

Sie könnten auch davon profitieren, die Sicherheitstipps zu lesen, die ich in „Bitcoin OpSec-Tipps von Casa Keyfest“ beschrieben habe.

Wie Sie CYA durchführen können, wenn Ihre Daten kompromittiert wurden

Befolgen Sie grundsätzlich die obigen Schritte und ändern Sie, was once Sie in Ihrem Bitcoin-Unternehmensprofil und Ihren Kontoanmeldeinformationen können – JETZT.

Sie wissen dann, dass ein zukünftiger Firmenkontakt mit der alten E-Mail-Adresse oder Telefonnummer als verdächtig und möglicherweise schädlich angesehen werden sollte.

Wie können Sie CYA gegen Social Engineering einsetzen?

Erstens: Gehen Sie NICHT davon aus, dass Sie nicht auf einen Social-Engineering-Angriff hereinfallen würden.

Social Engineering ist eine hinterhältige Kompromissmethode und wird Ihren Wunsch ansprechen, gesehen und verstanden zu werden. Wenn die schlechten Schauspieler Ihre Informationen aus einem CRM haben, verwenden sie Informationen darüber, was once Sie durchsucht haben, welche Einkäufe Sie getätigt haben und vergangene Gespräche, um Ihnen das Gefühl zu geben, dass sie sich persönlich mit Ihnen verbunden haben. Sie werden jede psychologische Schwachstelle, die sie entdecken können, nutzen, um Sie dazu zu bringen, ihnen zu vertrauen, und dann Maßnahmen ergreifen, die zu einem Kompromiss führen können, der ihnen finanziellen Gewinn bringt.

Stellen Sie sich vor, Sie erhalten morgen einen Anruf (Social Engineering) angeblich von einem Ihrer Bitcoin-Dienstleister, der Sie über den Angriff informiert und Ihnen anbietet, Ihr Passwort an Ort und Stelle direkt am Telefon zu aktualisieren. Ihre Anrufer-ID zeigt sogar, dass sie von dem Unternehmen anrufen, von dem sie sagen, dass sie anrufen. Sie brauchen nur Ihr aktuelles Passwort, um Sie zu authentifizieren. Wenn Sie es aktiviert haben, sagen sie möglicherweise sogar, dass Sie eine 2-Faktor-Authentifizierungsanfrage an Ihr Telefon senden, und tatsächlich erhalten Sie eine. Sie werden Sie bitten, den Code abzulesen, um „Ihre Identität zu bestätigen“.

Was once tatsächlich passiert, ist, dass sie die Anrufer-ID gefälscht haben, um es so aussehen zu lassen, als würden sie von dieser Firma anrufen. Sie melden sich als Sie auf der Website online an und Sie geben ihnen alle Informationen, die sie für den Zugriff auf Ihr Konto benötigen.

Gehen Sie immer direkt auf die Website online und nehmen Sie dort Profiländerungen vor.

Wie können Sie CYA gegen E-Mail-Phishing einsetzen?

Gehen Sie NICHT davon aus, dass Sie technisch so versiert sind, dass Sie nicht auf einen Spear-Phishing-Angriff hereinfallen würden. Sogar Leute, die es besser wissen sollten, fallen immer wieder auf sie herein.

Stellen Sie sich vor, Sie erhalten morgen eine E-Mail (Phishing-Angriff), angeblich von einem Ihrer Bitcoin-Dienstleister, die Sie über den Angriff informiert und Ihnen empfiehlt, sich sofort anzumelden, um Ihr Passwort zu aktualisieren, und einen praktischen Anmeldelink bereitstellt.

Sollten Sie auf diesen Hyperlink klicken?

Antwort: NEIN! Sie sollten NIEMALS auf den Hyperlink in einer E-Mail klicken.

Recherchieren Sie und informieren Sie sich darüber, wie actual diese aussehen und wie sie psychologische Voreingenommenheit und Rauschen nutzen, um Ihre Augen und Ihr Gehirn auszutricksen.

KnowBe4 ist ein Unternehmen, das Sicherheitsschulungen für Mitarbeiter anbietet und viele gute kostenlose Informationen darüber bietet, wie guy Phishing-Angriffe erkennt und vermeidet.

Ich persönlich klicke selten, wenn überhaupt, auf Hyperlinks von Bitcoin-Unternehmen. Gehen Sie auf die Seite und melden Sie sich direkt an. Der kleine zusätzliche Aufwand ist die zusätzliche Sicherheit und die Vermeidung des Risikos einer Kompromittierung persönlicher Daten wert.

Wie Sie mit zentralisierten Börsen CYA durchführen können

Wie immer, nicht Ihre Schlüssel, nicht Ihre Münzen. Um wirklich dezentralisiert zu sein, MÜSSEN Sie Ihre Bitcoin von der Börse weg und in Selbstverwahrung bringen.

Dies ist nicht nur ein Drawback der Bitcoin-Unternehmen. Wie ich jedoch in einem anderen Artikel schreibe und etwas, das an dieser Stelle offensichtlich sein sollte, sind Bitcoiner ein Ziel.

Weckruf für Sicherheit und Datenschutz

Diese Kompromisse sollten ein Weckruf für die Sicherheit in allen Bereichen Ihres digitalen Lebens sein.

Und Sie haben gerade festgestellt, dass Ihnen die Privatsphäre wichtig ist.

Zu diesem Zweck könnten Sie sich dafür entscheiden, zu Diensten zu wechseln, die kein KYC verwenden und/oder die einige Ihrer persönlichen Daten nicht enthalten.

Ausführlichere Informationen zur Hubspot-Kompromittierung finden Sie in Robert Warrens „What The Hubspot Bitcoin Corporate Information Breach Method For You (It’s No longer Just right)“.

Dies ist ein Gastbeitrag von Heidi Porter. Die geäußerten Meinungen sind ausschließlich ihre eigenen und spiegeln nicht unbedingt die von BTC Inc oder wider Bitcoin-Magazin.