Coinbase bliver det seneste offer for et cyberangreb, hvor en uidentificeret trusselsaktør gjorde en betydelig indsats for at bryde de interne systemer på en af verdens førende cryptocurrency-udvekslingsplatforme gennem et phishing-angreb.
I en blog udgivet på sin hjemmeside bekræftede Coinbase, at data fra vores virksomhedsregister blev afsløret, efter det lykkedes for cyberangribere at bryde deres system. I en erklæring sagde Coinbase:
"Coinbase oplevede for nylig et cybersikkerhedsangreb, der var rettet mod en af sine medarbejdere. Heldigvis forhindrede Coinbase's cyberkontrol angriberen i at få direkte systemadgang og forhindrede ethvert tab af midler eller kompromittering af kundeoplysninger. Kun en begrænset mængde data fra vores virksomhedsregister blev afsløret."
Selvom Coinbase sagde, at kundemidler, såvel som kundedata, er sikre, tilføjede cybersikkerhedsfirmaet Group-IB, at trusselsaktøren stjal næsten 1,000 virksomhedsadgangslogin ved at sende phishing-links over SMS til virksomhedens medarbejdere.
Den cyberkriminelle målrettede oprindeligt Coinbase-medarbejdere ved at sende fem phishing-sms-beskeder, der opfordrede dem til hurtigt at logge ind på deres virksomhedskonti og læse en vigtig besked. Beskederne indeholdt et link, der efterlignede Coinbase-virksomhedens login-side, men det var faktisk en ondsindet landingsside designet til at stjæle følsomme data.
Mens de fleste medarbejdere ikke blev narre af phishing, faldt en medarbejder for fidusen og gav hackerne deres loginoplysninger. Kontoen var dog beskyttet med multi-factor authentication (MFA), som begrænsede hackernes handlinger. Ikke desto mindre gav de ikke op og ringede til offeret og udgav sig for at være virksomhedens it-afdeling. De instruerede offeret om at logge ind på arbejdsstationen og følge forskellige trin.
Coinbase rapporterede, at det tog sit CSIRT (Computer Security Incident Response Team) cirka ti minutter at identificere angrebet og kontakte offeret vedrørende den mistænkelige aktivitet. Offeret erkendte straks, at de blev snydt, og afsluttede kommunikationen med angriberen.
Den nuværende kampagne deler ligheder med sidste års Scatter Swine/0ktapus-phishing-kampagner, som cybereksperter fra Group-IB afslørede resulterede i næsten 1,000 stjålne virksomhedsadgangslogin gennem phishing-sms-beskeder. På trods af dette er den ansvarlige part for det seneste angreb stadig ukendt.
Nedenfor, Coinbase forklarede hvordan angrebet skete.
“Tl;dr – Coinbase oplevede for nylig et cybersikkerhedsangreb, der var rettet mod en af sine medarbejdere. Heldigvis forhindrede Coinbase's cyberkontrol angriberen i at få direkte systemadgang og forhindrede ethvert tab af midler eller kompromittering af kundeoplysninger. Kun en begrænset mængde data fra vores virksomhedsregister blev afsløret. Coinbase tror på gennemsigtighed, og vi ønsker, at vores medarbejdere, kunder og samfundet skal høre detaljerne om dette angreb og dele de taktikker, teknikker og procedurer (TTP'er), der bruges af denne modstander, så alle bedre kan beskytte sig selv.
Coinbase-kunder og -medarbejdere er hyppige mål for svindlere. Årsagen er enkel - valuta i enhver form, inklusive krypto, er præcis, hvad cyberkriminelle er ude efter. Det er ikke svært at forstå, hvorfor så mange modstandere konstant leder efter måder at opnå hurtig profit.
At håndtere et så stort antal modstandere og cybersikkerhedsudfordringer er en af grundene til, at jeg synes, at Coinbase er et interessant sted at arbejde. I denne artikel vil vi diskutere et faktisk cyberangreb og tilhørende cyberhændelse, som vi for nylig har behandlet her på Coinbase. Selvom jeg er meget glad for at kunne sige, at i dette tilfælde var ingen kundemidler eller kundeoplysninger påvirket, men der er stadig værdifulde erfaringer at lære. Hos Coinbase tror vi på gennemsigtighed. Ved at tale åbent om sikkerhedsspørgsmål som dette tror jeg, at vi gør hele samfundet mere sikkert og mere sikkerhedsbevidst.
Vores historie starter sent på dagen søndag den 5. februar 2023. Adskillige medarbejdermobiltelefoner begynder at alarmere med SMS-beskeder, der indikerer, at de hurtigt skal logge på via det angivne link for at modtage en vigtig besked. Mens flertallet ignorerer denne uopfordrede besked – en medarbejder, der mener, at det er en vigtig og legitim besked, klikker på linket og indtaster deres brugernavn og adgangskode. Efter at have "logget ind", bliver medarbejderen bedt om at se bort fra beskeden og takkes for efterlevelsen.
Det næste, der skete, var, at angriberen, udstyret med et legitimt Coinbase-medarbejderbrugernavn og adgangskode, gjorde gentagne forsøg på at få fjernadgang til Coinbase. Heldigvis var vores cyberkontroller klar. Angriberen var ikke i stand til at give de påkrævede Multi Factor Authentication (MFA) legitimationsoplysninger – og blev blokeret fra at få adgang. I mange tilfælde ville det være slutningen på historien. Men dette var ikke en hvilken som helst angriber. Vi mener, at denne person er forbundet med en meget vedholdende og sofistikeret angrebskampagne, der har været rettet mod snesevis af virksomheder siden sidste år.
Cirka 20 minutter senere ringede vores medarbejders mobiltelefon. Angriberen hævdede at være fra Coinbase Corporate Information Technology (IT), og de havde brug for medarbejderens hjælp. Medarbejderen troede, at de talte med en legitim Coinbase IT-medarbejder, og loggede ind på deres arbejdsstation og begyndte at følge angriberens instruktioner. Det begyndte en frem og tilbage mellem angriberen og en stadig mere mistænkelig medarbejder. Efterhånden som samtalen skred frem, blev anmodningerne mere og mere mistænkelige. Heldigvis blev der ikke taget midler, og ingen kundeoplysninger blev tilgået eller set, men nogle begrænsede kontaktoplysninger for vores medarbejdere blev taget, specielt medarbejdernavne, e-mail-adresser og nogle telefonnumre.
Heldigvis var vores Computer Security Incident Response Team (CSIRT) på toppen af dette problem inden for de første 10 minutter efter angrebet. Vores CSIRT blev advaret om usædvanlig aktivitet af vores Security Incident and Event Management (SIEM) system. Kort efter kontaktede en af vores hændelsesvarere ud til offeret via vores interne Coinbase-meddelelsessystem og spurgte om nogle af de usædvanlige adfærd og brugsmønstre, der er forbundet med deres konto. Medarbejderen indså, at noget var alvorligt galt, og afsluttede al kommunikation med angriberen.
Vores CSIRT-team suspenderede øjeblikkeligt al adgang for den forurettede medarbejder og iværksatte en fuldstændig undersøgelse. På grund af vores lagdelte kontrolmiljø gik der ingen penge tabt, og ingen kundeoplysninger blev kompromitteret. Oprydningen gik relativt hurtigt, men alligevel – her er der meget at lære.
Enhver kan være social manipuleret
Mennesker er sociale væsner. Vi vil gerne tage os sammen. Vi vil gerne være en del af teamet. Hvis du tror, du ikke kan narre af en veludført social engineering-kampagne - laver du sjov. Under de rette omstændigheder kan næsten enhver blive et offer.
Det sværeste angreb af alle at modstå er et direkte kontakt socialt ingeniørangreb, som det, vores medarbejder blev udsat for her. Det er her, angriberen kontakter dig direkte via sociale medier, din mobiltelefon eller endnu værre, går op til dit hjem eller forretningssted. Disse angreb er ikke nye. Faktisk har den slags angreb helt sikkert fundet sted siden menneskehedens tidlige dage. Det er en favorittaktik blandt modstandere overalt – fordi det virker.
Så hvad gør vi? Hvordan forhindrer vi dette i at ske?
Jeg vil gerne sige, at dette kun er et træningsproblem. At kunder, medarbejdere og mennesker overalt skal trænes bedre. De skal gøre det bedre – det vil der altid være en vis sandhed i. Men som cybersikkerhedsprofessionelle kan det ikke være løsningen undskyldning, vi søger efter, hver gang dette sker. Forskning viser igen og igen, at alle mennesker kan blive narret til sidst, uanset hvor opmærksomme, dygtige og forberedte de er. Vi skal altid arbejde ud fra den antagelse, at der vil ske dårlige ting. Vi er nødt til konstant at være innovative for at sløve effektiviteten af disse angreb, samtidig med at vi stræber efter at forbedre den overordnede oplevelse for vores kunder og medarbejdere.
Kan du dele nogen taktik, teknikker og procedurer (TTP'er)?
Det kan vi bestemt. I betragtning af den brede række af virksomheder, der er målrettet af denne aktør, ønsker vi, at alle skal vide, hvad vi ved. Her er et par specifikke ting, vi anbefaler, at du kigger efter i dine virksomhedslogfiler/SIEM:
Enhver webtrafik fra dine teknologiaktiver til følgende adresser, hvor * repræsenterer dit firma- eller organisationsnavn:
sso-*.com
*-sso.com
login.*-sso.com
dashboard-*.com
*-dashboard.com
Eventuelle downloads eller forsøg på download af følgende fjernskrivebordsfremvisere:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Ethvert forsøg på at få adgang til din organisation fra en tredjeparts VPN-udbyder, specifikt Mullvad VPN.
Indgående telefonopkald/sms fra følgende udbydere:
Google Voice
Skype
Vonage/Nexmo
Båndbredde dot com"
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Om
- adgang
- af udleverede
- Konto
- Konti
- aktioner
- aktivitet
- faktisk
- tilføjet
- adresser
- Efter
- Alert
- Alle
- altid
- beløb
- ,
- nogen
- cirka
- artikel
- Aktiver
- forbundet
- antagelse
- angribe
- Angreb
- forsøgt
- Forsøg på
- Godkendelse
- tilbage
- Bad
- fordi
- bliver
- begyndte
- være
- Tro
- mener
- tro
- Bedre
- mellem
- blokeret
- Blog
- brud
- bred
- virksomhed
- kaldet
- Opkald
- Kampagne
- Kampagner
- tilfælde
- tilfælde
- sikkert
- udfordringer
- omstændigheder
- hævdede
- coinbase
- Coinbase s
- KOM
- Kommunikation
- Kommunikation
- samfund
- Virksomheder
- selskab
- Selskabs
- kompromis
- Kompromitteret
- computer
- Computersikkerhed
- BEKRÆFTET
- konstant
- kontakt
- kontakter
- kontrol
- kontrol
- Samtale
- Corporate
- Legitimationsoplysninger
- krypto
- cryptocurrency
- Cryptocurrency Exchange
- Valuta
- Nuværende
- kunde
- kundedata
- Kunder
- Cyber
- Cyberangreb
- CYBERKRIMINAL
- cyberkriminelle
- Cybersecurity
- data
- dag
- Dage
- Afdeling
- konstrueret
- desktop
- Trods
- detaljer
- forskellige
- svært
- direkte
- direkte
- diskutere
- DOT
- downloads
- Tidligt
- effektivitet
- indsats
- Medarbejder
- medarbejdere
- Engineering
- Går ind i
- Miljø
- udstyret
- Endog
- begivenhed
- til sidst
- Hver
- alle
- præcist nok
- udveksling
- erfaring
- erfarne
- eksperter
- udsat
- Favorit
- februar
- få
- Finde
- Firm
- Fornavn
- følger
- efter
- formular
- Heldigvis
- svindlere
- hyppig
- fra
- fuld
- fonde
- tabte midler
- Gevinst
- vinder
- få
- Giv
- given
- hacket
- hackere
- ske
- skete
- Happening
- sker
- Gem
- Hård Ost
- høre
- hjælpe
- link.
- stærkt
- Home
- Hvordan
- Men
- HTTPS
- Menneskelighed
- identificere
- straks
- påvirket
- vigtigt
- Forbedre
- in
- hændelse
- hændelsesrespons
- Herunder
- stigende
- angiver
- individuel
- oplysninger
- informationsteknologi
- i første omgang
- fornyelse
- anvisninger
- interessant
- interne
- undersøgelse
- spørgsmål
- spørgsmål
- IT
- Kend
- landing
- destinationsside
- stor
- Efternavn
- Sidste år
- Sent
- seneste
- lanceret
- lagdelt
- førende
- lærte
- Lessons
- Limited
- LINK
- links
- Se
- leder
- off
- Lot
- lavet
- Flertal
- lave
- ledelse
- mange
- Matter
- Medier
- medlem
- besked
- beskeder
- messaging
- MFA
- minutter
- Mobil
- mobiltelefon
- mobiltelefoner
- mere
- mest
- multi
- multi-faktor autentificering
- navn
- navne
- næsten
- Behov
- behov
- Ny
- næste
- nummer
- numre
- ONE
- online
- organisation
- samlet
- del
- part
- Adgangskode
- mønstre
- Mennesker
- Phishing
- phishing-angreb
- telefon
- telefonopkald
- telefoner
- Place
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- indsendt
- forberedt
- Problem
- procedurer
- professionelle partnere
- Profit
- skred
- beskytte
- beskyttet
- give
- forudsat
- udbyder
- udbydere
- Hurtig
- nå
- nået
- Læs
- klar
- realisere
- grund
- årsager
- modtage
- nylige
- for nylig
- anerkendt
- anbefaler
- om
- relativt
- resterne
- fjern
- Remote Access
- gentaget
- rapporteret
- repræsenterer
- anmodninger
- påkrævet
- forskning
- svar
- ansvarlige
- sikrere
- Said
- Fup
- rækkevidde
- sikker
- sikkerhed
- afsendelse
- følsom
- flere
- Del
- Aktier
- Inden længe
- Shows
- signifikant
- ligheder
- Simpelt
- siden
- faglært
- SMS
- So
- Social
- Samfundsteknologi
- sociale medier
- løsninger
- nogle
- noget
- sofistikeret
- taler
- specifikke
- specifikt
- Personale
- starte
- starter
- Statement
- Steps
- Stadig
- Stole
- stjålet
- Stands
- Story
- sådan
- suspenderet
- mistænksom
- systemet
- Systemer
- taktik
- taler
- målrettet
- rettet mod
- mål
- hold
- teknikker
- Teknologier
- ti
- Møntbasen
- deres
- selv
- ting
- Tredje
- trussel
- Gennem
- tid
- til
- top
- Trafik
- uddannet
- Kurser
- Gennemsigtighed
- under
- forstå
- usædvanlig
- Brug
- Værdifuld
- via
- Victim
- seere
- VPN
- måder
- web
- Webtrafik
- Hjemmeside
- Hvad
- som
- mens
- vilje
- inden for
- Arbejde
- virker
- arbejdsstation
- Verdens
- ville
- Forkert
- år
- Din
- dig selv
- zephyrnet