與通常只追求金錢的俄羅斯和朝鮮加密黑客不同,Comm 團伙成員往往既想引起注意,又追求惡作劇的快感。
撰文:Ben Weiss 、Jeff John Roberts
編譯:Luffy,Foresight News
Coinbase 聯合創始人兼首席執行官 Brian Armstrong 於 2022 年在印度班加羅爾的一次活動上發表講話
2025 年 5 月 15 日,Coinbase 披露其數萬客戶的個人數據遭竊取,這是該公司歷史上最大的安全事件,預計將造成高達 4 億美元的損失。此次數據泄露不僅因其規模引人注目,更在於黑客的攻擊手段:賄賂海外客戶客服人員以獲取機密客戶信息。
Coinbase 公開表示將向提供線索、幫助犯罪分子被捕和定罪的舉報人支付 2000 萬美元獎金,但對於攻擊者身份或黑客攻擊細節卻披露甚少。
(財富)雜誌最近的一項調查(包括查閱 Coinbase 與一名黑客之間電子郵件)揭示了該事件的新細節,暗示一個由說英語的年輕黑客組成的鬆散網絡是部分責任方。與此同時,調查結果還凸顯了所謂的 BPO(業務流程外包單位)是科技公司安全運營的薄弱環節。
內鬼作案:外包客服成爲突破口
故事始於德克薩斯州紐布朗費爾斯的一家小型上市公司 TaskUs。與其他 BPO 一樣,該公司通過僱傭海外員工以低成本爲大型科技公司提供客戶服務。據該公司發言人透露,今年 1 月,TaskUs 從其位於印度印多爾的服務中心解僱了 226 名員工爲 Coinbase 工作。
根據向美國證券交易委員會提交的文件,自 2017 年以來,TaskUs 一直爲 Coinbase 提供客戶服務人員,這種合作關係爲這家美國加密巨頭節省了大量勞動力成本。但問題在於:當客戶發送電子郵件詢問其賬戶或 Coinbase 新產品時,他們很可能在與海外的 TaskUs 員工交談。由於這些代理的工資低於美國本土員工,他們更容易被賄賂。
「今年早些時候,我們發現兩名個人非法訪問了我們一個客戶的信息,」TaskUs 發言人在提及 Coinbase 時告訴(財富)雜誌,「我們認爲這兩人是受僱於一場針對 Coinbase 的更廣泛、有組織的犯罪活動,該活動還影響了 Coinbase 提供服務的許多其他供應商。」
根據 Coinbase 的監管文件,TaskUs 在今年 1 月解僱員工,距離 Coinbase 發現客戶數據被盜不到一個月(注:Coinbase 在 2024 年 12 月就發現了數據泄露)。週二,在紐約代表 Coinbase 客戶提起的聯邦集體訴訟指控 TaskUs 在保護客戶數據方面存在疏忽。「雖然我們無法對訴訟發表評論,但我們認爲這些指控沒有根據,我們將爲自己辯護,」TaskUs 發言人表示,「我們將保護客戶數據置於最高優先級,並會繼續加強我們的全球安全協議和培訓計劃。」
一位瞭解該安全事件的知情人士表示,黑客還成功攻擊了一些其他 BPO 公司,而且每次事件中被盜數據的性質各不相同。
這些被盜數據不足以讓黑客闖入 Coinbase 的加密金庫,但確實提供了豐富的信息,幫助犯罪分子僞裝成虛假的 Coinbase 客服,聯繫客戶並說服他們交出加密資產。該公司表示,黑客竊取了超過 6.9 萬名客戶的數據,但未說明其中有多少人成爲所謂 「社會工程騙局」 的受害者。本案中,社會工程騙局涉及犯罪分子利用被盜數據冒充 Coinbase 員工,說服受害者轉移其加密資產。
Coinbase 在一份聲明中表示:「正如我們已經披露的那樣,我們最近發現一個威脅行爲者曾要求海外客服獲取可追溯至 2024 年 12 月的客戶賬戶信息。我們已通知受影響的用戶和監管機構,切斷了與涉案 TaskUs 人員和其他海外客服的聯繫,並加強了管控。」 聲明還補充說,正在向在詐騙中損失資金的客戶進行賠償。
冒充公司代表進行的社會工程詐騙並不新鮮,但黑客針對 BPO 公司進行攻擊的規模頗爲罕見。雖然尚未有人明確指認犯罪者,但一些線索強烈指向一個由講英語的年輕黑客組成的鬆散組織。
青少年黑客團伙:「它們來自電子遊戲」
在 5 月中旬 Coinbase 數據泄露事件披露後的幾天裏,(財富)雜誌在 Telegram 上與一名自稱 「puffy party」 的男子進行了交流,他聲稱自己是黑客之一。
另外兩名與這名匿名黑客交談過的安全研究人員告訴(財富)雜誌,他們認爲此人可信。其中一人說:「根據他與我分享的內容,我認真推敲過他的陳述,並且無法找到證據證明他的陳述是虛假的。」 兩名研究人員都要求匿名,因爲他們擔心因與所謂的黑客交談而收到傳票。
在交流中,該男子分享了許多截圖,稱這些是與 Coinbase 安全團隊的電子郵件往來。他與 Coinbase 溝通時使用的名字是 「Lennard Schroeder」。他還分享了一個屬於 Coinbase 前高管的賬戶截圖,其中顯示了加密交易和大量個人詳細信息。
Coinbase 沒有否認這些截圖的真實性。
這名自稱黑客分享的電子郵件包括以 2000 萬美元比特幣進行勒索的威脅(Coinbase 拒絕支付),以及關於黑客團伙將用部分贓款爲該公司光頭 CEO Brian Armstrong 購買頭髮的嘲諷評論。「我們願意贊助植髮手術,讓他可以瀟灑地環遊世界,」 黑客寫道。
在 Telegram 消息中,此人((財富)雜誌從一名安全研究人員處得知其存在)表達了對 Coinbase 的蔑視。
許多加密貨幣搶劫案是由俄羅斯犯罪團伙或朝鮮軍方實施的,但據稱此次黑客是由一羣被稱爲 「Comm」 或 「Com」的青少年和 20 多歲年輕人組成的鬆散聯盟所爲。
在過去兩年中,關於 Comm 團伙的報道出現在其他黑客事件的媒體報道中,包括(紐約時報)本月早些時候的一篇報道,其中一名涉嫌實施一系列加密貨幣盜竊的嫌疑人自稱是該組織成員。據(華爾街日報)報道,2023 年,調查人員認定爲該組織的黑客攻擊了拉斯維加斯幾家線上運營的賭場,並試圖向米高梅度假村勒索 3000 萬美元。
與通常只追求金錢的俄羅斯和朝鮮加密黑客不同,Comm 團伙成員往往既想引起注意,又追求惡作劇的快感。他們有時會合作進行黑客攻擊,但也會相互競爭,看誰偷得更多。
「他們來自電子遊戲,然後把高分帶到現實世界,」 加密取證調查公司 Cryptoforensic Investigators 調查總監 Josh Cooper-Duckett 說,「在這個世界裏,他們的分數就是偷了多少錢。」
在 Telegram 消息中,這名所謂的黑客表示,Comm 的成員專門負責搶劫的不同環節。他的團隊賄賂客服並收集客戶數據,然後將數據交給團隊外精通社會工程騙局的其他人。他們補充說,不同的 Comm 附屬團體在 Telegram 和 Discord 等社交平臺上協調如何執行行動的不同部分,並分配贓款。
加密調查公司 Tracelon 的創始人 Sergio Garcia 告訴(財富)雜誌,黑客對 Coinbase 攻擊的描述與他對 Comm 團伙運作方式和其他加密社會工程騙局的觀察相符。知情人士稱,最近在社會工程騙局中攻擊客戶的人說着一口地道的北美英語。
據一位瞭解 BPO 員工工資的消息人士透露,印度 TaskUs 員工的月薪在 500 至 700 美元之間。TaskUs 拒絕置評。Garcia 告訴(財富)雜誌,儘管這一數字高於印度的人均國內生產總值,但客服的低工資往往使他們更容易接受賄賂。「顯然,這是鏈條中最薄弱的環節,因爲他們有經濟動機接受賄賂,」 他補充道。
