Pracownicy Coinbase byli celem ataku cybernetycznego 5 lutego obejmującego oszustwa SMS-owe i podszywanie się pod personel IT, według do niedawnego raportu zespołu inżynierów firmy. Według giełdy kryptowalut, żadne fundusze ani informacje klientów nie zostały naruszone.
Według raportu, w późną niedzielę kilku pracowników Coinbase otrzymało wiadomości SMS z prośbą o pilne zalogowanie się za pomocą podanego linku w celu uzyskania dostępu do ważnej wiadomości. Działając w dobrej wierze, jeden z pracowników wykonał polecenie wyzyskiwacza:
„Podczas gdy większość ignoruje tę nieproszoną wiadomość, jeden pracownik, wierząc, że jest to ważna i uzasadniona wiadomość, klika link i wprowadza swoją nazwę użytkownika i hasło. Po „zalogowaniu” pracownik jest proszony o zignorowanie wiadomości i podziękowanie za zastosowanie się”.
Następnie sprawca wielokrotnie próbował uzyskać zdalny dostęp do wewnętrznych systemów Coinbase za pomocą nazwy użytkownika i hasła pracownika, ale nie był w stanie przejść przez środek bezpieczeństwa Multi-Factor Authentication (MFA).
Po niepowodzeniu uwierzytelnienia i automatycznej blokadzie, exploiter skontaktował się telefonicznie z pracownikiem. Według raportu atakujący twierdził, że jest działem IT Coinbase i poprosił pracownika o pomoc:
„Wierząc, że rozmawiają z legalnym pracownikiem IT Coinbase, pracownik zalogował się na swojej stacji roboczej i zaczął postępować zgodnie z instrukcjami atakującego. Od tego zaczęła się wymiana zdań między napastnikiem a coraz bardziej podejrzliwym pracownikiem. W miarę postępu rozmowy prośby stawały się coraz bardziej podejrzane”.
Zespół reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT) firmy Coinbase został powiadomiony o nietypowej aktywności przez system zarządzania incydentami i zdarzeniami związanymi z bezpieczeństwem (SIEM). Osoba reagująca na incydent skontaktowała się z ofiarą za pośrednictwem wewnętrznego systemu wiadomości firmy w odpowiedzi na nietypowe zachowanie.
„Zdając sobie sprawę, że coś jest poważnie nie tak, pracownik przerwał wszelką komunikację z atakującym” – czytamy w raporcie. Według Coinbase, jego warstwowe środowisko kontrolne chroniło fundusze i informacje klientów, mimo że niektóre dane osobowe zostały naruszone.
ma Firma uważa, że atak jest powiązany z wyrafinowaną kampanią ataków, której celem było wiele firm od zeszłego roku, zwłaszcza w Stanach Zjednoczonych. Firma zajmująca się cyberbezpieczeństwem Group-IB zgłaszane w sierpniu podobne ataki phishingowe na pracowników Twilio i Cloudflare w ramach masowej kampanii zakończonej przejęciem 9,931 kont w ponad 130 organizacjach.
Zespół Coinbase zauważył również, że jego klienci i pracownicy są częstymi celami oszustów, a rozwiązaniem jest oferowanie odpowiednich szkoleń:
„Badania pokazują raz po raz, że wszystkich ludzi można w końcu oszukać, bez względu na to, jak bardzo są czujni, wykwalifikowani i przygotowani. Zawsze musimy wychodzić z założenia, że złe rzeczy się wydarzą. Musimy stale wprowadzać innowacje, aby osłabić skuteczność tych ataków, jednocześnie dążąc do poprawy ogólnego doświadczenia naszych klientów i pracowników”.
Źródło: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees