أصبحت Coinbase أحدث ضحية لهجوم إلكتروني بذل فيه أحد الفاعلين المجهولين جهودًا كبيرة لخرق الأنظمة الداخلية لإحدى منصات تبادل العملات المشفرة الرائدة في العالم من خلال هجوم تصيد احتيالي.
في مدونة نُشرت على موقعها على الإنترنت ، أكدت Coinbase أن البيانات من دليل الشركة قد تم الكشف عنها بعد أن نجح المهاجمون السيبرانيون في اختراق نظامها. وقالت Coinbase في بيان:
"شهدت Coinbase مؤخرًا هجومًا للأمن السيبراني استهدف أحد موظفيها. لحسن الحظ ، منعت عناصر التحكم الإلكترونية في Coinbase المهاجم من الوصول المباشر إلى النظام ومنعت أي خسارة للأموال أو اختراق معلومات العميل. تم الكشف عن كمية محدودة فقط من البيانات من دليل الشركة ".
على الرغم من أن Coinbase قالت إن أموال العملاء ، وكذلك بيانات العملاء ، آمنة ، أضافت شركة Group-IB للأمن السيبراني أن ممثل التهديد سرق ما يقرب من 1,000 تسجيل دخول للشركات عن طريق إرسال روابط تصيد عبر الرسائل القصيرة إلى موظفي الشركة.
استهدف المجرم الإلكتروني في البداية موظفي Coinbase عن طريق إرسال خمس رسائل نصية قصيرة تصيدية تحثهم على تسجيل الدخول على وجه السرعة إلى حسابات الشركة وقراءة رسالة مهمة. احتوت الرسائل على رابط يحاكي صفحة تسجيل الدخول الخاصة بشركة Coinbase ، لكنها كانت في الواقع صفحة مقصودة خبيثة مصممة لسرقة البيانات الحساسة.
على الرغم من أن التصيد الاحتيالي لم ينخدع معظم الموظفين ، فقد وقع موظف واحد في عملية الاحتيال وأعطى المتسللين بيانات اعتماد تسجيل الدخول الخاصة بهم. ومع ذلك ، كان الحساب محميًا بمصادقة متعددة العوامل (MFA) ، مما حد من إجراءات المتسللين. ومع ذلك ، لم يستسلموا واتصلوا بالضحية ، متظاهرين بأنهم قسم تكنولوجيا المعلومات في الشركة. لقد أصدروا تعليمات للضحية بتسجيل الدخول إلى محطة العمل واتباع خطوات مختلفة.
ذكرت Coinbase أنها استغرقت CSIRT (فريق الاستجابة لحوادث أمن الكمبيوتر) حوالي عشر دقائق لتحديد الهجوم والاتصال بالضحية فيما يتعلق بالنشاط المشبوه. أدرك الضحية على الفور أنه تم خداعهما وأنهى الاتصال بالمهاجم.
تشترك الحملة الحالية في أوجه التشابه مع حملات التصيد الاحتيالي Scatter Swine / 0ktapus في العام الماضي ، والتي كشف عنها خبراء الإنترنت من Group-IB ، مما أدى إلى سرقة ما يقرب من 1,000 عملية تسجيل دخول إلى الشركات من خلال رسائل التصيد الاحتيالي القصيرة. على الرغم من ذلك ، لا تزال الجهة المسؤولة عن الهجوم الأخير غير معروفة.
أدناه ، Coinbase شرح كيف حدث الهجوم.
"Tl ؛ dr - Coinbase تعرضت مؤخرًا لهجوم للأمن السيبراني استهدف أحد موظفيها. لحسن الحظ ، منعت عناصر التحكم الإلكترونية في Coinbase المهاجم من الوصول المباشر إلى النظام ومنعت أي خسارة للأموال أو اختراق معلومات العميل. تم الكشف عن كمية محدودة فقط من البيانات من دليل الشركة الخاص بنا. تؤمن Coinbase بالشفافية ، ونريد من موظفينا وعملائنا والمجتمع سماع تفاصيل هذا الهجوم ومشاركة التكتيكات والتقنيات والإجراءات (TTPs) التي يستخدمها هذا الخصم حتى يتمكن الجميع من حماية أنفسهم بشكل أفضل.
يعتبر عملاء وموظفو Coinbase أهدافًا متكررة للمحتالين. السبب بسيط - العملة بأي شكل من الأشكال ، بما في ذلك العملات المشفرة ، هي بالضبط ما يسعى إليه مجرمو الإنترنت. ليس من الصعب فهم سبب بحث العديد من الخصوم باستمرار عن طرق لتحقيق ربح سريع.
يعد التعامل مع هذا العدد الكبير من الخصوم وتحديات الأمن السيبراني أحد الأسباب التي جعلتني أجد Coinbase مكانًا ممتعًا للعمل. سنناقش في هذه المقالة هجومًا إلكترونيًا فعليًا وحادث إلكتروني مرتبط به تعاملنا معه مؤخرًا هنا في Coinbase. بينما يسعدني جدًا أن أقول إنه في هذه الحالة لم تتأثر أموال العملاء أو معلومات العملاء ، لا تزال هناك دروس قيمة يجب تعلمها. في Coinbase نؤمن بالشفافية. من خلال التحدث بصراحة عن قضايا أمنية مثل هذه ، أعتقد أننا نجعل المجتمع بأكمله أكثر أمانًا وأكثر وعياً بالأمان.
تبدأ قصتنا في وقت متأخر من يوم الأحد الخامس من فبراير 5. تبدأ العديد من الهواتف المحمولة للموظفين في التنبيه برسائل SMS تشير إلى أنهم بحاجة إلى تسجيل الدخول بشكل عاجل عبر الرابط المقدم لتلقي رسالة مهمة. بينما يتجاهل الغالبية هذه الرسالة غير المقيدة - يقوم موظف واحد ، معتقدًا أنها رسالة مهمة وشرعية ، بالنقر فوق الرابط وإدخال اسم المستخدم وكلمة المرور الخاصة به. بعد "تسجيل الدخول" ، يُطلب من الموظف تجاهل الرسالة وشكره على الامتثال.
ما حدث بعد ذلك هو أن المهاجم ، المزود باسم مستخدم وكلمة مرور شرعيين لموظف Coinbase ، قام بمحاولات متكررة للوصول عن بُعد إلى Coinbase. لحسن الحظ ، كانت ضوابطنا الإلكترونية جاهزة. لم يتمكن المهاجم من توفير بيانات اعتماد المصادقة متعددة العوامل (MFA) المطلوبة - وتم حظره من الوصول. في كثير من الحالات ، ستكون هذه نهاية القصة. لكن هذا لم يكن مجرد مهاجم. نعتقد أن هذا الشخص مرتبط بحملة هجومية متطورة ومتطورة للغاية استهدفت عشرات الشركات منذ العام الماضي.
بعد حوالي 20 دقيقة رن الهاتف المحمول لموظفنا. ادعى المهاجم أنه من Coinbase Corporate Information Technology (IT) وأنهم بحاجة إلى مساعدة الموظف. اعتقادًا منهم بأنهم كانوا يتحدثون إلى أحد موظفي Coinbase IT الشرعيين ، قام الموظف بتسجيل الدخول إلى محطة العمل الخاصة به وبدأ في اتباع تعليمات المهاجم. بدأ ذلك ذهابًا وإيابًا بين المهاجم والموظف المشبوه على نحو متزايد. مع تقدم المحادثة ، أصبحت الطلبات مشبوهة أكثر فأكثر. لحسن الحظ ، لم يتم أخذ أي أموال ولم يتم الوصول إلى معلومات العملاء أو عرضها ، ولكن تم أخذ بعض معلومات الاتصال المحدودة لموظفينا ، وتحديدًا أسماء الموظفين وعناوين البريد الإلكتروني وبعض أرقام الهواتف.
لحسن الحظ ، كان فريق الاستجابة لحوادث أمان الكمبيوتر (CSIRT) على رأس هذه المشكلة خلال الدقائق العشر الأولى من الهجوم. تم تنبيه CSIRT الخاص بنا إلى نشاط غير عادي من خلال نظام إدارة الحوادث الأمنية والأحداث (SIEM) الخاص بنا. بعد ذلك بوقت قصير ، تواصل أحد المستجيبين للحوادث لدينا مع الضحية عبر نظام رسائل Coinbase الداخلي لدينا للاستفسار عن بعض السلوكيات غير العادية وأنماط الاستخدام المرتبطة بحساباتهم. بعد أن أدرك الموظف أن شيئًا ما كان خاطئًا بشكل خطير ، أنهى جميع الاتصالات مع المهاجم.
قام فريق CSIRT لدينا على الفور بتعليق كل وصول للموظف الضحية وبدأ تحقيقًا كاملاً. نظرًا لبيئة التحكم متعددة الطبقات لدينا ، لم يتم فقدان أي أموال ولم يتم اختراق معلومات العملاء. كانت عملية التنظيف سريعة نسبيًا ، ولكن مع ذلك - هناك الكثير من الدروس التي يمكن تعلمها هنا.
يمكن لأي شخص أن يكون مصممًا اجتماعيًا
البشر مخلوقات اجتماعية. نريد أن نتعايش. نريد أن نكون جزءًا من الفريق. إذا كنت تعتقد أنه لا يمكن أن تنخدع بحملة هندسة اجتماعية جيدة التنفيذ - فأنت تمزح مع نفسك. في ظل الظروف المناسبة ، يمكن لأي شخص أن يكون ضحية.
أصعب هجوم يمكن مقاومته هو هجوم الهندسة الاجتماعية للتواصل المباشر ، مثل الهجوم الذي عانى منه موظفنا هنا. هذا هو المكان الذي يتصل فيه المهاجم مباشرة بك عبر وسائل التواصل الاجتماعي أو هاتفك المحمول ، أو الأسوأ من ذلك ، أن يذهب إلى منزلك أو مكان عملك. هذه الهجمات ليست جديدة. في الواقع ، كانت هذه الأنواع من الهجمات تحدث بالتأكيد منذ الأيام الأولى للبشرية. إنه تكتيك مفضل للخصوم في كل مكان - لأنه يعمل.
إذن ماذا نفعل؟ كيف نمنع هذا من الحدوث؟
أود أن أقول إن هذه مجرد مشكلة تدريب. أن العملاء والموظفين والناس في كل مكان بحاجة إلى تدريب أفضل. إنهم بحاجة إلى القيام بعمل أفضل - سيكون هناك دائمًا بعض الحقيقة في ذلك. ولكن بصفتنا متخصصين في الأمن السيبراني ، لا يمكن أن يكون هذا هو عذر الحل الذي نتوصل إليه في كل مرة يحدث فيها هذا. تظهر الأبحاث مرارًا وتكرارًا أنه يمكن خداع جميع الأشخاص في النهاية ، بغض النظر عن مدى انتباههم ومهاراتهم واستعدادهم. يجب أن نعمل دائمًا على افتراض أن الأشياء السيئة ستحدث. نحن بحاجة إلى الابتكار باستمرار لتقليل فعالية هذه الهجمات مع السعي لتحسين التجربة العامة لعملائنا وموظفينا.
هل يمكنك مشاركة أي من التكتيكات والتقنيات والإجراءات (TTPs)؟
نحن بالتأكيد نستطيع. بالنظر إلى النطاق الواسع للشركات التي يستهدفها هذا الممثل ، نريد أن يعرف الجميع ما نعرفه. إليك بعض الأشياء المحددة التي نوصي بالبحث عنها في سجلات الشركة / SIEM:
أي حركة مرور على الويب من أصول التكنولوجيا الخاصة بك إلى العناوين التالية ، حيث * تمثل اسم شركتك أو مؤسستك:
sso - *. com
* -sso.com
تسجيل الدخول. * - sso.com
لوحة القيادة - *. com
* -dashboard.com
أي تنزيلات أو محاولات تنزيل لعارضات سطح المكتب البعيد التالية:
أني ديسك (أنديسك دوت كوم)
ISL Online (islonline دوت كوم)
أي محاولات للوصول إلى مؤسستك من مزود VPN تابع لجهة خارجية ، وتحديداً Mullvad VPN.
المكالمات الهاتفية / الرسائل النصية الواردة من مقدمي الخدمات التاليين:
جوجل صوت
سكيب
فونج / نيكسمو
النطاق الترددي دوت كوم "
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- من نحن
- الوصول
- الوصول
- حسابي
- الحسابات
- الإجراءات
- نشاط
- في الواقع
- وأضاف
- عناوين
- بعد
- ملاحظه
- الكل
- دائما
- كمية
- و
- أي شخص
- ما يقرب من
- البند
- ممتلكات
- أسوشيتد
- افتراض
- مهاجمة
- الهجمات
- حاول
- محاولات
- التحقّق من المُستخدم
- الى الخلف
- سيئة
- لان
- يصبح
- بدأ
- يجري
- اعتقد
- يعتقد
- الاعتقاد
- أفضل
- ما بين
- سدت
- المدونة
- خرق
- واسع
- الأعمال
- تسمى
- دعوات
- الحملات
- الحملات
- حقيبة
- الحالات
- بالتأكيد
- التحديات
- ظروف
- ادعى
- coinbase
- وCoinbase
- COM
- Communication
- مجال الاتصالات
- مجتمع
- الشركات
- حول الشركة
- الشركة
- حل وسط
- تسوية
- الكمبيوتر
- حماية الحاسوب
- تم تأكيد
- باستمرار
- التواصل
- جهات الاتصال
- مراقبة
- ضوابط
- محادثة
- منظمة
- أوراق اعتماد
- التشفير
- العملات المشفرة
- Cryptocurrency صرف
- العملة
- حالياًّ
- زبون
- بيانات العميل
- العملاء
- الانترنت
- هجوم الانترنت
- الجريمة الإلكترونية
- مجرمو الإنترنت
- الأمن السيبراني
- البيانات
- يوم
- أيام
- القسم
- تصميم
- سطح المكتب
- على الرغم من
- تفاصيل
- مختلف
- صعبة
- مباشرة
- مباشرة
- بحث
- DOT
- التنزيلات
- بريد الإلكتروني
- في وقت مبكر
- فعالية
- جهود
- موظف
- الموظفين
- الهندسة
- يدخل
- البيئة
- مسلح
- حتى
- الحدث/الفعالية
- في النهاية
- كل
- كل شخص
- بالضبط
- تبادل
- الخبره في مجال الغطس
- تمكنت
- خبرائنا
- مكشوف
- المفضلة—الحقيبة
- فبراير
- قليل
- شركة
- الاسم الأول
- اتباع
- متابعيك
- النموذج المرفق
- لحسن الحظ
- المحتالين
- متكرر
- تبدأ من
- بالإضافة إلى
- أموال
- فقدت الأموال
- ربح
- كسب
- دولار فقط واحصل على خصم XNUMX% على جميع
- منح
- معطى
- اخترق
- قراصنة
- يحدث
- حدث
- حدث
- يحدث
- سعيد
- الثابت
- سماع
- مساعدة
- هنا
- جدا
- الصفحة الرئيسية
- كيفية
- لكن
- HTTPS
- الإنسانية
- تحديد
- فورا
- أثر
- أهمية
- تحسن
- in
- حادث
- استجابة الحادث
- بما فيه
- على نحو متزايد
- مبينا
- فرد
- معلومات
- تكنولوجيا المعلومات
- في البداية
- ابتكار
- تعليمات
- وكتابة مواضيع مثيرة للاهتمام
- داخلي
- تحقيق
- قضية
- مسائل
- IT
- علم
- هبوط
- الصفحة المقصودة
- كبير
- اسم العائلة
- العام الماضي
- متأخر
- آخر
- أطلقت
- الطبقات
- قيادة
- تعلم
- الدروس
- محدود
- LINK
- وصلات
- بحث
- أبحث
- خسارة
- الكثير
- صنع
- أغلبية
- جعل
- إدارة
- كثير
- أمر
- الوسائط
- عضو
- الرسالة
- رسائل
- الرسائل
- MFA
- دقائق
- الجوال
- الهاتف المحمول
- الهواتف النقالة
- الأكثر من ذلك
- أكثر
- موضوع
- المصادقة متعددة العوامل
- الاسم
- أسماء
- تقريبا
- حاجة
- بحاجة
- جديد
- التالي
- عدد
- أرقام
- ONE
- online
- منظمة
- الكلي
- جزء
- حفلة
- كلمة المرور
- أنماط
- مجتمع
- التصيد
- هجوم التصيد
- للهواتف
- المكالمات الهاتفية
- الهواتف
- المكان
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نشر
- أعدت
- المشكلة
- الإجراءات
- المهنيين
- الربح
- تقدم
- حماية
- محمي
- تزود
- المقدمة
- مزود
- مقدمي
- سريع
- الوصول
- التي تم الوصول إليها
- عرض
- استعداد
- تحقيق
- سبب
- الأسباب
- تسلم
- الأخيرة
- مؤخرا
- المعترف بها
- نوصي
- بخصوص
- نسبيا
- بقايا
- عن بعد
- الوصول عن بعد
- متكرر
- وذكرت
- يمثل
- طلبات
- مطلوب
- بحث
- استجابة
- مسؤول
- أكثر أمانا
- قال
- احتيال
- نطاق
- تأمين
- أمن
- إرسال
- حساس
- عدة
- مشاركة
- مشاركة
- قريبا
- يظهر
- هام
- التشابه
- الاشارات
- منذ
- ماهر
- SMS
- So
- العدالة
- هندسة اجتماعية
- وسائل التواصل الاجتماعي
- حل
- بعض
- شيء
- متطور
- تحدث
- محدد
- على وجه التحديد
- فريق العمل
- بداية
- يبدأ
- ملخص الحساب
- خطوات
- لا يزال
- نهب
- مسروق
- قلة النوم
- قصتنا
- هذه
- تعليق
- مشكوك فيه
- نظام
- أنظمة
- التكتيكات
- الحديث
- المستهدفة
- استهداف
- الأهداف
- فريق
- تقنيات
- تكنولوجيا
- عشرة
- •
- القاعدة النقدية
- من مشاركة
- أنفسهم
- الأشياء
- الثالث
- التهديد
- عبر
- الوقت
- إلى
- تيشرت
- حركة المرور
- متدرب
- قادة الإيمان
- الشفافية
- مع
- فهم
- غير عادي
- الأستعمال
- القيمة
- بواسطة
- ضحية
- المشاهدين
- VPN
- طرق
- الويب
- شبكة المرور
- الموقع الإلكتروني
- ابحث عن
- التي
- في حين
- سوف
- في غضون
- للعمل
- أعمال
- محطة العمل
- العالم
- سوف
- خاطئ
- عام
- حل متجر العقارات الشامل الخاص بك في جورجيا
- نفسك
- زفيرنت