财富杂志专访 Kraken 首席安全官: 为什么美国人更容易成为诈骗目标?

Marco Quiroz-Gutierrez热度: 6090

Nick Percoco是Kraken的首席安全官,负责安全、IT和欺诈行为的监管。他的团队拥有24/7/365的响应能力,有红队和应用程序安全团队,定期检查每一行代码,并使用人工智能检测潜在恶意活动。加密货币的承诺是让人们能够自由地在世界中以无需许可的方式与任何人进行交易。

摘要由 Mars AI 生成
本摘要由 Mars AI 模型生成,其生成内容的准确性、完整性还处于迭代更新阶段。

原文作者:Marco Quiroz-Gutierrez

受访者:Nick Percoco,Kraken 首席安全官

原文来源:fortune

编译:Luffy,Foresight News

Kraken

Nick Percoco,Kraken 首席安全官

在二十多年的职业生涯中,Nick Percoco 帮助多家公司建立了网络安全机制。自 2018 年 Percoco 担任 Kraken 首席安全官以来,他一直致力于帮助其安全策略正规化。现在,他负责监管加密货币交易所的安全、IT 和欺诈行为。

《财富》杂志最近采访了 Percoco,详细讨论了为什么 Kraken 能通过友好的黑客攻击来提高安全性,以及为什么美国人特别容易受到恶意攻击。

你是如何开始进入加密货币领域的?又是如何加入 Kraken 的?

我有一个取证实验室(SpiderLabs,Percoco 创立的,现在是 Trustwave 的一部分),它拥有大量用于密码破解的 GPU。因此,我们从事取证工作,我们获得加密文件,我们尝试解密(尝试在环境中找到弱密码),但这些 GPU 大多时候是闲置的。2011 年、2012 年左右,我们实验室的一些人开始谈论比特币,比如,「嘿,我们可以使用这些 GPU 挖一些比特币。」 他们问是否可以做到这一点,当时比特币几乎一文不值,我说,「是的,当然。我们来玩玩吧。」 然后每个人都创建钱包,我们互相发送比特币,那个时候有点像在探索货币的未来。

这实际上并不是为了任何形式的投资或长期战略,只是因为「这真的很酷。正是这种无需许可的技术,你可以在互联网上汇款,而不必通过任何人,就像区块链上的一个钱包到另一个钱包一样。」 今天,人们了解到这项技术很有趣,但十年前,它更像是科幻小说。所以我对此非常感兴趣,但并没有真正深入到成为一名比特币爱好者。我没有说,「我要开采数百个比特币或数千个比特币,我没有走那条路。 」

我曾在安全社区和黑客社区工作,加密社区和安全社区之间有一点重叠。在做了一些初创公司的安全工作之后,Trustwave 被卖给了新加坡电信 (Singtel),然后我在 Rapid7 工作,帮助他们上市,这是另一家网络安全公司。后来,我加入了一家人工智能公司,并为他们负责了几年的安全工作。我的一位朋友和 Kraken 首席执行官 Dave Ripley 联系了我们。Kraken 正在招聘人才来确定安全计划。我开始与 Dave(当时他是我们的首席运营官)聊天,然后被介绍给 Kraken 前首席执行官和创始人 Jesse Powell。在 2018 年秋天,我正是加入 Kraken,担任首席安全官。今天,我在这里负责安全、IT 和欺诈工作。

首席安全官的日常工作是怎样的?

我将它组织得有点像堆栈,技术含量最低的东西位于顶部,技术含量最高的东西位于底部。在这个堆栈的最顶层,与我一起工作的人基本上处于我们称之为安全策略的世界中。我们不断思考:「安全计划需要走向何方?我们看到了什么?我们看到了哪些趋势?有哪些值得我们学习的地方?」 

下一层基本上是我们的信息安全治理小组——政策和程序、安全监管要求、外部审计、供应商尽职调查和安全审计,以及客户尽职调查。

再下一层是公司内部的安全运营职能,这是我们的蓝队,负责监控对安全事件的检测响应,无论这些事件是我们公司内部还是外部的。这是公司内一个 24/7/365 的团队。这对我们来说非常关键。当事情发生时,我们需要在几秒钟内知道,而不是三周后。当公司内部或外部发生与我们相关的事情时,我们会在几秒钟内知道。 

我们还有一支红队,本质上是我招募的黑客团队,定期对我们进行黑客攻击,从外部、从内部、社会工程等等多个层次发起攻击,因为犯罪分子没有任何规则,他们会尝试每一个可能的角度。

我们还有一个应用程序安全团队,基本上会检查每一行代码,无论是在我们的移动应用程序中还是在我们的网站上。每一个更改都会对每一行代码进行仔细检查——我们可能引入该代码库的每个依赖项都会被仔细检查。我们不断地检测潜在的漏洞、真正的漏洞,提交错误赏金报告,这是一个不断识别和修复的循环。

Kraken 如何为受骗局影响的客户提供支持?

客户受骗很多都是通过钓鱼网站、假冒网站或诈骗网站等方式。客户在我们的生态系统之外徘徊,并在任何特定时间与这些网站进行互动,因此我们有专门的人员负责——平均而言,我们每天要取缔三到四个网站、社交媒体帐户和其他诈骗网站。

常见的加密货币诈骗有哪些例子?

很多时候,这些骗局的技术含量非常低。它们更像是社会工程,而不是人们所说的黑客攻击。在这些情况下,通常会发生的情况是,有人与他们交朋友,让他们觉得可以信任,并开始告诉他们做他们不太理解的事情,然后他们的资金就被盗了。事情可能是这样的,「哦,将会有一个空投,我们正在注册钱包以获得代币,所以你需要进入你的钱包并向我们提供助记词。然后我们会给你注册,注册之后你就可以获得价值 10,000 美元的空投代币。」 然后人们就这么做了,大约 10 分钟后,钱包被洗劫一空,他们就被踢出了 Discord。

还有其他技术含量很低的骗局实际上只是投资骗局,人们看到一个看起来合法的投资网站,最终将资金发送给这家公司,而这家公司窃取了他们的资金。

你能谈谈你们追踪到一个漏洞的经历以及过程是什么样的吗?

这里有一个例子:我们有一个客户的帐户有问题。他们声称正在与我们的支持人员交谈。他们说有人登录了他们的账户并从中提取资金。在与我们的支持人员的谈话中,他们提到了他们正在使用的移动应用程序,以及他们描述移动应用程序的方式与我们的移动端体验不符。

因此支持人员要求他们发送一些移动应用程序的屏幕截图。果然,这不是我们的移动应用程序。它有相同的名称,并且有我们的 logo,但它不是我们的。这只是一个非常初级的 Kraken 应用程序。然后我们询问他们从哪里下载该应用程序,结果发现他们使用的是一家你可以从旁边下载应用程序的商店。它不像 Google Play 或 App Store,那里有很多加密应用程序。

美国的网络安全与国外有何不同?

犯罪团伙往往更多地针对美国公民。主要原因是在美国,犯罪团伙更容易获取受害者的身份信息。在美国有数据聚合器的概念,只要付费,你基本上可以找到任何个人的任何信息。你可以找到他们过去的所有住址、家庭成员、电子邮件地址、电话号码等等敏感信息。而在境外,由于一些隐私法的存在,这有点困难。

作为一名罪犯,如果我想瞄准活跃在加密货币领域的人,我可能会在社交媒体上找到他们。他们可能在加密推特上非常活跃。我可以做一些研究并确定他们是谁,但如果他们在美国境外,这可能会很困难。事实上,作为一名罪犯,我可能会找到一个人,但我不一定要以他为目标——我可能会以住在同一所房子里的家庭成员为目标,而他们可能不那么精通安全。一旦我进入该家庭成员的计算机,我就与我想要追踪的人位于同一网络上。

人工智能将如何影响网络安全?

人工智能使蓝队能够扩大规模。例如,你可以训练 AI 模型来检测更大数据集中的潜在恶意活动。对于传统工具,你通常必须应用更多静态规则。有了人工智能,这些规则不必那么静态,它可以更符合人类逻辑——就像你让一个人查看日志文件,也许能够确定某些东西是否看起来可疑,而不仅仅是一个简单的规则集。规则集可能会错过它,人类可以检测到它,但只能以一定的速度检测到。你无法每小时向人类提供十亿条日志,但你可以每小时向人工智能提供十亿条日志。我认为这对防守方有帮助。

在攻击者方面,人工智能也在提供帮助。比如视频通话、变声的深度伪造。从诈骗者的角度来看,它可以让受害者卸下防御。事实上,我们的红队就是这样做的。他们拍摄了我做过的所有视频或其中的一部分,然后将它们输入人工智能。他们创造了我的声音来给不同的员工打电话,要求他们做事,看看员工是否真的会这么做,因为这听起来和我一模一样。当我听到这些模拟出来的声音时,这听起来有点不可思议。这让我有点畏缩,因为它就像我的声音,但又不完全一样。

这对金融的未来意味着什么?

我认为金融的未来是这样一个世界,无论你是谁或住在哪里,你都可以自由地在你的世界中以无需许可的方式与任何人进行交易,这就是加密货币的承诺。这就是我们来这里的目的,让人们能够做到这一点。在这个星球上,很多人处于不利地位,他们无法使用传统金融系统做这些事情,因此加密货币的承诺就是让人们能够做到这一点。

声明:本文为入驻“MarsBit 专栏”作者作品,不代表MarsBit官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况,及遵守所在国家和地区的相关法律法规。
关键字:Kraken