Hôm qua, chúng tôi đã viết về một chiến dịch lừa đảo gần đây nhắm vào người dùng PayPal ở Mỹ Latinh. Chúng tôi đã nói về việc những kẻ lừa đảo thường cố gắng đánh lừa nạn nhân nghĩ rằng ai đó đang cố gắng hack tài khoản của họ. Ý tưởng là sự hoảng loạn xảy ra sau đó sẽ làm giảm cơ hội người dùng nhận thấy rằng họ đang bị lừa đảo. Mặc dù nó khá hiệu quả, nhưng thực tế hiện nay khá phổ biến và nhiều người biết về nó. Thực tế, đến nỗi, khi một vài người dùng Poloniex nhận được email liên quan đến bảo mật tài khoản của họ, họ đã khá nghi ngờ.
Một cảnh báo email bất ngờ làm tăng một số lông mày
Theo tin nhắn, sàn giao dịch tiền điện tử đã liên lạc với khách hàng của mình vì một danh sách các địa chỉ email và mật khẩu được sử dụng xung quanh Twitter. Email nói rằng nhóm bảo mật của sàn giao dịch đã nắm giữ danh sách, phân tích nó và xác định rằng một số địa chỉ được liên kết với tài khoản Poloniex. Những người dùng nhận được tin nhắn được thông báo rằng địa chỉ của họ nằm trong danh sách đó và vì quá thận trọng, Poloniex đã buộc phải đặt lại mật khẩu cho tài khoản của họ. Mặc dù không có một liên kết nào chuyển hướng họ đến một trang đăng nhập, một số người dùng ngay lập tức cho rằng họ đang ở cuối nhận được một cuộc tấn công lừa đảo.
Họ bày tỏ mối quan tâm của họ trên phương tiện truyền thông xã hội, và nhiều người khác đồng ý rằng tin nhắn có vẻ hơi tanh. Tuy nhiên, vào ngày 30 tháng 12, nhóm hỗ trợ của Poloniex đã xác nhận rằng email là chính hãng.
QUAN TRỌNG!
Có tin tặc bị đánh cắp hoặc rò rỉ mật khẩu của bạn?
Trình quản lý mật khẩu Cyclonis giúp bảo mật mật khẩu của bạn trong một mã hóa
địa điểm. Bảo vệ mật khẩu của bạn chống lại tin tặc và vi phạm dữ liệu!
Tìm hiểu thêm.
Tạo và duy trì mật khẩu phức tạp
Cải thiện sức mạnh mật khẩu với Trình phân tích mật khẩu
Kiểm tra xem mật khẩu của bạn đã được thỏa hiệp trong vi phạm dữ liệu
* Xem chi tiết và điều khoản dùng thử miễn phí
Chi tiết dùng thử miễn phí & Điều khoản
Dùng thử MIỄN PHÍ: Ưu đãi 30 ngày một lần! Không cần thẻ tín dụng để dùng thử miễn phí. Chức năng đầy đủ cho thời lượng dùng thử miễn phí. (Chức năng đầy đủ sau khi dùng thử miễn phí yêu cầu mua đăng ký.) Để tìm hiểu thêm về chính sách và giá cả của chúng tôi, hãy xem EULA, Chính sách bảo mật, Điều khoản giảm giá đặc biệt và Trang mua hàng. Nếu bạn muốn gỡ cài đặt ứng dụng, vui lòng truy cập trang Hướng dẫn gỡ cài đặt. 
Poloniex cho chúng ta biết những gì đã xảy ra
Bất chấp tweet của Poloniex, một số người vẫn bối rối và ngày hôm qua, sàn giao dịch tiền điện tử cuối cùng đã quyết định xuất bản một bài trung bình và chia sẻ chi tiết hơn về vấn đề này. Bài viết nói rằng về 1% khách hàng của sàn giao dịch đã nhận được thông báo qua email. Như đã đề cập, Poloniex đã liên lạc với họ vì địa chỉ email của họ được tìm thấy trong danh sách thông tin đăng nhập bị rò rỉ đang thực hiện các vòng vào cuối tháng 12.
Điều quan trọng, dữ liệu không bị đánh cắp từ Poloniex. Các chuyên gia bảo mật của sàn giao dịch tiền điện tử đã kiểm tra hệ thống của họ và không tìm thấy bằng chứng nào về việc vi phạm dữ liệu. Hơn nữa, họ đã đề cập cả trong bài viết Trung bình và trong email rằng họ lưu trữ mật khẩu dưới dạng băm mật mã bcrypt. Ngược lại, tất cả các thông tin đăng nhập trong danh sách bị rò rỉ đều ở dạng văn bản thuần túy.
Sau khi liên lạc với Troy Hunt, các chuyên gia bảo mật của Poloniex đã phát hiện ra rằng 90% mật khẩu trong danh sách đã có trong Tôi đã được trả tiền chưa cơ sở dữ liệu. Hunt đã có phần còn lại của dữ liệu và sẽ tải nó vào dịch vụ cảnh báo vi phạm dữ liệu của mình sớm.
Nói cách khác, các chuyên gia bảo mật của Poloniex đã cố gắng bảo vệ khách hàng của họ khỏi một cuộc tấn công nhồi thông tin xác thực.
Tiết lộ tốt hơn một chút sẽ làm cho tất cả sự khác biệt
Bắt tay vào một lượng đáng kể dữ liệu đăng nhập bị đánh cắp trở nên dễ dàng hơn bao giờ hết, điều đó có nghĩa là các cuộc tấn công nhồi thông tin xác thực ngày càng trở nên thường xuyên hơn. Poloniex xứng đáng được vỗ lưng vì đã giúp khách hàng của mình tự bảo vệ mình trước mối đe dọa đặc biệt này. Tuy nhiên, phải nói rằng một tài khoản chi tiết hơn về những gì đang diễn ra và thời điểm tốt hơn một chút sẽ giúp người dùng tiết kiệm rất nhiều chi phí.
Ví dụ, cảnh báo đã không giải quyết người dùng bằng tên hoặc tên người dùng của họ và thay vào đó bắt đầu bằng "Kính gửi khách hàng Poloniex", thường được coi là dấu hiệu nhận biết của email lừa đảo. Thêm vào đó, khi các tin nhắn được gửi đi, không có bài đăng trên blog nào có thể làm sáng tỏ vấn đề này. Nó đã không xuất hiện cho đến ba ngày sau đó và trong thời gian đó, điều duy nhất khách hàng phải trải qua là một tweet từ tài khoản hỗ trợ của Poloniex, đã thúc giục họ "đặt lại mật khẩu của bạn để bảo mật tài khoản".
Như bạn có thể thấy, ngay cả những lỗi nhỏ nhất cũng có thể gây ra nhiều nhầm lẫn, đặc biệt là khi bảo mật (và, trong trường hợp này, tiền điện tử) của nhiều người bị đe dọa. Toàn bộ câu chuyện là một bằng chứng khác cho thấy việc tiết lộ một sự kiện liên quan đến an ninh đôi khi cũng quan trọng như các hành động được thực hiện để đảm bảo mọi người vẫn an toàn.
