هک کوینبیس، یکی از بزرگترین صرافیهای رمزارز، نشان داد که طمع و ضعفهای انسانی بزرگترین تهدیدها هستند. هکرها با رشوه به کارکنان، اطلاعات شخصی صدها هزار کاربر را دزدیدند و این مسئله مسائل امنیتی عمیقی را برای سازمانها ایجاد کرد.
جزئیات این حادثه نشان میدهد که هکرها با پرداخت پول نقد به نمایندگان پشتیبانی در هند، موفق به دسترسی به اطلاعات حساس کاربران شدند. این فضاسازی به تسهیل حملههای سایبری مشابه منجر شده و ضعف در نظارت داخلی و آموزشهای اخلاقی را به چالش میکشد.
نتایج این هک فراتر از خسارات مالی برای کوینبیس است و به کاهش اعتماد کاربران و رقابتهای شدید در بازار دامن میزند. برای جلوگیری از بروز چنین تهدیداتی، شرکتها باید آموزش و سازوکارهای گزارشدهی را تقویت و شرایط کاری کارکنان را بهبود بخشند.
شرکت کوینبیس، یکی از بزرگترین صرافیهای رمزارز در جهان، در میانه بهار امسال خبر از نفوذ هکرها و دزدیده شدن اطلاعات شخصی صدها هزار کاربر داد. این حادثه ثابت کرد که حتی قدرتمندترین دیوارهای امنیتی هم در برابر خریدوفروش کارکنان ضعیف میشوند؛ وقتی فردی به ازای چند دلار رشوه، رمز اعتماد مشتریان را به آسانی فاش میکند.
این هک چطور رخ داد؟
از اوایل سال، گروهی ناشناس با پرداخت پول نقد، نمایندگان پشتیبانی کوینبیس در هند را متقاعد کردند که اطلاعات کاربران را در اختیارشان بگذارند. این دادهها شامل نام و نشانی، تصاویر کارت شناسایی، مانده حساب و تاریخچه تراکنشها بود.
سپس مهاجمان با یک ایمیل باجخواهانه ۲۰ میلیون دلاری اعلام کردند در صورت عدم پرداخت، همه اطلاعات را منتشر میکنند. آنقدر این ماجرا سریع پیش رفت که کوینبیس ناچار شد در گزارش خود به نهادهای دولتی اعلام کند ممکن است تا ۴۰۰ میلیون دلار برای جبران هزینهها کنار بگذارد.
نقطهضعف انسانی
ایشو مت ماتکوهن، مدیرعامل شرکت CyberArk، میگوید:
«هر چقدر هم که سامانهها و سرورها را ایمن کنیم، در نهایت ماجرا در دست انسانی است که درکنار کامپیوتر نشسته.»
وقتی یک کارمند کمدرآمد، پیشنهاد چند هزار دلار را وسوسهکننده بداند، آماده است برای پول، پرده محرمانگی را کنار بزند. ضعف در نظارت بر دسترسی داخلی و نبود سازوکار گزارش ناشناس، فرصتی طلایی برای هکرها فراهم آورد.
تجربههای مشابه
این روش چندان تازه نیست. در ۲۰۲۲ گروه Lapsus$ با وعده پاداش به کارکنان شرکتهای بزرگ نظیر مایکروسافت و سامسونگ وارد شبکههایشان شد و دادههای کلیدی را دزدید. مهاجمین با ایجاد یک کانال عمومی در یک پیامرسان، از کارکنان میخواستند در ازای دریافت مبالغ مشخص، گذرواژه و دسترسی اداری را در اختیارشان بگذارند. نتیجه آنقدر چشمگیر بود که خیلیها گفتند تاکتیکِ «رشوه به کارمند» از نفوذ فنی هم کارسازتر است.
همچنین داخل کشور، باندهای تعویض سیمکارت (SIM Swap) با رشوه به کارکنان مخابرات، شماره تلفن کاربران را به سیم مهاجمان منتقل میکنند. همین دسترسی اجازه میدهد تا کدهای تأیید ورود به صرافیها و بانکها را بگیرند و دارایی دیجیتال یا پول نقد را سرقت کنند.
چرا رشوه تا این حد موفق است؟
۱. دستمزد پایین
خیلی از نمایندگان پشتیبانی یا پیمانکاران خارجی دستمزد چندانی نمیگیرند. وقتی وعده پرداخت ناگهانی چند هزار دلار پیش بیاید، مقاومت در برابر آن دشوار میشود.
۲. تمرکز بر فناوری، غفلت از نیروی انسانی
شرکتها به تجهیز سرورها و رمزنگاری اهمیت میدهند اما از آموزش اخلاق کاری و ایجاد سازوکارهای گزارشدهی غافل میمانند. در نتیجه کارمندان حتی از ترس از دست دادن شغل، جرأت افشای راز را دارند.
آلن لیسکا، تحلیلگر Recorded Future، میگوید:
«یک دهه پیش کمتر دیده میشد مجرمان برای در اختیار گرفتن گذرواژهها، سراغ رشوه بروند. اما حالا میزان سودجویی بهقدری بالاست که روی کمدسترسترین کارکنان هم حساب باز میکنند.»
تبعات این اتفاقات برای کوینبیس و کاربران
کوینبیس وعده کرده خسارت کاربران آسیبدیده را بپردازد اما پیامدهای آن فراتر از مبلغ پرداختی است. از دست رفتن اعتماد کاربر، کاهش حجم معاملات، و جلب توجه رقبایی که مدعی امنیت بیشتر هستند، همه میتوانند کوینبیس را در موقعیت دشواری قرار دهند. بایننس و کراکن هم پیشتر با حملات شبیه مواجه شدهاند، اما تا حدی توانستند از انتشار اطلاعات جلوگیری کنند.
راهکارهایی برای پیشگیری از رویدادهای مشابه
برای کمکردن خطر اینگونه حملات، لازم است:
- مدیریت مصادیق دسترسی: تنها اجازه مشاهده و تغییر اطلاعات مورد نیاز هر کارمند را بدهیم.
- نظارت بر رفتار داخلی: الگوهای غیرعادی مثل درخواستهای مکرر دسترسی به دادههای فراتر از وظیفه را فوراً رصد و پیگیری کنیم.
- آموزش مداوم: کارکنان را درباره روشهای مهندسی اجتماعی و عواقب امنیتی آگاه کنیم.
- سازوکار گزارش ناشناس: کانالی امن ایجاد کنیم تا کارمندان بتوانند بدون ترس از تنبیه، موارد مشکوک را گزارش دهند.
- جبران عادلانه: حقوق و مزایا را طوری تنظیم کنیم که کارکنان کمتر انگیزه مالی برای پذیرش رشوه داشته باشند.
- استانداردهای پیمانکاری: شرکتها و پیمانکاران خارجی را ملزم کنیم استانداردهای امنیت و ضد رشوهخواری را رعایت کنند و دورهای حسابرسی کنیم.
کلام آخر
ماجرای هک کوینبیس درازمدتترین زنگ خطری است که نشان میدهد صرفاً تمرکز روی فناوری امن، کفایت نمیکند. وقتی شرایط اقتصادی و نظارت داخلی ضعیف باشند، کرکرها نیازی به عبور از دیوارههای دیجیتال ندارند؛ کافی است کلید کارمندی را بخرند و با یک امضای رشوه، در قلب سامانهها رخنه کنند. تنها راه واقعی حفاظت، ترکیب هوشمندانه سرمایهگذاری در فناوری، آموزش گسترده و اصلاح شرایط کاری است تا هیچ نردبانی برای طمع فراهم نشود.
