Coinbase wird das jüngste Opfer eines Cyberangriffs, bei dem ein nicht identifizierter Angreifer erhebliche Anstrengungen unternahm, um die internen Systeme einer der weltweit führenden Plattformen für den Austausch von Kryptowährungen durch einen Phishing-Angriff zu durchbrechen.
In einem auf seiner Website veröffentlichten Blog bestätigte Coinbase, dass Daten aus unserem Unternehmensverzeichnis offengelegt wurden, nachdem es Cyberangreifern gelungen war, in sein System einzudringen. In einer Erklärung sagte Coinbase:
„Coinbase erlebte kürzlich einen Cybersicherheitsangriff, der auf einen seiner Mitarbeiter abzielte. Glücklicherweise hinderten die Cyberkontrollen von Coinbase den Angreifer daran, direkten Systemzugriff zu erlangen, und verhinderten den Verlust von Geldern oder die Kompromittierung von Kundeninformationen. Nur eine begrenzte Menge an Daten aus unserem Unternehmensverzeichnis wurde offengelegt.“
Obwohl Coinbase sagte, dass sowohl Kundengelder als auch Kundendaten sicher sind, fügte das Cybersicherheitsunternehmen Group-IB hinzu, dass der Bedrohungsakteur fast 1,000 Zugangsdaten für Unternehmen gestohlen hat, indem er Phishing-Links per SMS an Mitarbeiter des Unternehmens gesendet hat.
Der Cyberkriminelle zielte zunächst auf Mitarbeiter von Coinbase ab, indem er fünf Phishing-SMS-Nachrichten verschickte, in denen er sie aufforderte, sich dringend bei ihren Firmenkonten anzumelden und eine wichtige Nachricht zu lesen. Die Nachrichten enthielten einen Link, der die Anmeldeseite des Unternehmens von Coinbase nachahmte, aber es war tatsächlich eine bösartige Zielseite, die darauf ausgelegt war, vertrauliche Daten zu stehlen.
Während sich die meisten Mitarbeiter nicht durch das Phishing täuschen ließen, fiel ein Mitarbeiter auf den Betrug herein und gab den Hackern seine Anmeldeinformationen. Das Konto war jedoch mit Multi-Faktor-Authentifizierung (MFA) geschützt, was die Aktionen der Hacker einschränkte. Trotzdem gaben sie nicht auf und riefen das Opfer an, das sich als IT-Abteilung des Unternehmens ausgab. Sie wiesen das Opfer an, sich an der Arbeitsstation anzumelden und verschiedene Schritte zu befolgen.
Coinbase berichtete, dass sein CSIRT (Computer Security Incident Response Team) ungefähr zehn Minuten brauchte, um den Angriff zu identifizieren und das Opfer bezüglich der verdächtigen Aktivität zu kontaktieren. Das Opfer erkannte sofort, dass es betrogen wurde und beendete die Kommunikation mit dem Angreifer.
Die aktuelle Kampagne weist Ähnlichkeiten mit den letztjährigen Scatter Swine/0ktapus-Phishing-Kampagnen auf, die von Cyber-Experten der Group-IB bekannt gegeben wurden und zu fast 1,000 gestohlenen Unternehmenszugangs-Logins durch Phishing-SMS-Nachrichten führten. Trotzdem bleibt die verantwortliche Partei für den jüngsten Angriff unbekannt.
Unten, Coinbase erklärt wie es zu dem Angriff kam.
„Tl;dr – Coinbase erlebte kürzlich einen Cybersicherheitsangriff, der auf einen seiner Mitarbeiter abzielte. Glücklicherweise hinderten die Cyberkontrollen von Coinbase den Angreifer daran, direkten Systemzugriff zu erlangen, und verhinderten den Verlust von Geldern oder die Kompromittierung von Kundeninformationen. Nur eine begrenzte Menge an Daten aus unserem Unternehmensverzeichnis wurde offengelegt. Coinbase glaubt an Transparenz und wir möchten, dass unsere Mitarbeiter, Kunden und die Community die Details dieses Angriffs erfahren und die von diesem Gegner verwendeten Taktiken, Techniken und Verfahren (TTPs) teilen, damit sich jeder besser schützen kann.
Kunden und Mitarbeiter von Coinbase sind häufige Ziele von Betrügern. Der Grund ist einfach – Währung in jeglicher Form, einschließlich Krypto, ist genau das, wonach Cyberkriminelle suchen. Es ist nicht schwer zu verstehen, warum so viele Gegner ständig nach Wegen suchen, um einen schnellen Gewinn zu erzielen.
Der Umgang mit einer so großen Anzahl von Gegnern und Cybersicherheitsherausforderungen ist einer der Gründe, warum ich Coinbase als einen so interessanten Arbeitsplatz empfinde. In diesem Artikel werden wir einen tatsächlichen Cyberangriff und den damit verbundenen Cybervorfall besprechen, mit dem wir uns kürzlich hier bei Coinbase befasst haben. Obwohl ich sehr froh bin, sagen zu können, dass in diesem Fall keine Kundengelder oder Kundeninformationen betroffen waren, gibt es dennoch wertvolle Lehren zu ziehen. Bei Coinbase glauben wir an Transparenz. Indem wir offen über solche Sicherheitsprobleme sprechen, glaube ich, dass wir die gesamte Community sicherer und sicherheitsbewusster machen.
Unsere Geschichte beginnt spät am Tag am Sonntag, den 5. Februar 2023. Mehrere Mitarbeiter-Handys beginnen mit SMS-Nachrichten zu alarmieren, die darauf hinweisen, dass sie sich dringend über den angegebenen Link anmelden müssen, um eine wichtige Nachricht zu erhalten. Während die Mehrheit diese unaufgeforderte Nachricht ignoriert, klickt ein Mitarbeiter, der glaubt, dass es sich um eine wichtige und legitime Nachricht handelt, auf den Link und gibt seinen Benutzernamen und sein Passwort ein. Nach dem „Einloggen“ wird der Mitarbeiter aufgefordert, die Meldung zu ignorieren und sich für die Einhaltung bedankt.
Was als nächstes geschah, war, dass der Angreifer, der mit einem legitimen Benutzernamen und Passwort eines Coinbase-Mitarbeiters ausgestattet war, wiederholte Versuche unternahm, sich Fernzugriff auf Coinbase zu verschaffen. Glücklicherweise waren unsere Cyberkontrollen bereit. Der Angreifer konnte die erforderlichen Anmeldeinformationen für die Multi-Faktor-Authentifizierung (MFA) nicht bereitstellen – und wurde am Zugriff gehindert. In vielen Fällen wäre das das Ende der Geschichte. Aber das war nicht irgendein Angreifer. Wir glauben, dass diese Person mit einer äußerst hartnäckigen und ausgeklügelten Angriffskampagne in Verbindung gebracht wird, die seit letztem Jahr auf zahlreiche Unternehmen abzielt.
Etwa 20 Minuten später klingelte das Handy unseres Mitarbeiters. Der Angreifer behauptete, von Coinbase Corporate Information Technology (IT) zu sein, und brauchte die Hilfe des Mitarbeiters. In dem Glauben, dass sie mit einem legitimen IT-Mitarbeiter von Coinbase sprachen, loggte sich der Mitarbeiter in seine Workstation ein und begann, den Anweisungen des Angreifers zu folgen. Damit begann ein Hin und Her zwischen dem Angreifer und einem zunehmend misstrauischen Mitarbeiter. Im Laufe des Gesprächs wurden die Anfragen immer verdächtiger. Glücklicherweise wurden keine Gelder genommen und keine Kundeninformationen abgerufen oder eingesehen, aber einige begrenzte Kontaktinformationen unserer Mitarbeiter wurden genommen, insbesondere Mitarbeiternamen, E-Mail-Adressen und einige Telefonnummern.
Glücklicherweise war unser Computer Security Incident Response Team (CSIRT) innerhalb der ersten 10 Minuten nach dem Angriff mit diesem Problem fertig. Unser CSIRT wurde von unserem SIEM-System (Security Incident and Event Management) auf ungewöhnliche Aktivitäten aufmerksam gemacht. Kurz darauf kontaktierte einer unserer Vorfall-Responder das Opfer über unser internes Coinbase-Nachrichtensystem und erkundigte sich nach einigen der ungewöhnlichen Verhaltens- und Nutzungsmuster im Zusammenhang mit seinem Konto. Als der Mitarbeiter erkannte, dass etwas ernsthaft falsch war, beendete er jegliche Kommunikation mit dem Angreifer.
Unser CSIRT-Team sperrte sofort den gesamten Zugriff für den betroffenen Mitarbeiter und leitete eine umfassende Untersuchung ein. Aufgrund unserer mehrschichtigen Kontrollumgebung gingen keine Gelder verloren und es wurden keine Kundeninformationen kompromittiert. Die Aufräumarbeiten gingen relativ schnell, aber trotzdem – hier gibt es viel zu lernen.
Jeder kann Social Engineering sein
Menschen sind soziale Wesen. Wir wollen miteinander auskommen. Wir wollen Teil des Teams sein. Wenn Sie denken, dass Sie sich von einer gut durchgeführten Social-Engineering-Kampagne nicht täuschen lassen, machen Sie sich selbst etwas vor. Unter den richtigen Umständen kann fast jeder ein Opfer sein.
Der Angriff, dem am schwersten zu widerstehen ist, ist ein Social-Engineering-Angriff mit direktem Kontakt, wie der, den unser Mitarbeiter hier erlitten hat. Hier kontaktiert Sie der Angreifer direkt über soziale Medien, Ihr Mobiltelefon oder noch schlimmer, er geht zu Ihnen nach Hause oder an Ihren Arbeitsplatz. Diese Angriffe sind nicht neu. Tatsächlich gibt es diese Art von Angriffen sicherlich seit den Anfängen der Menschheit. Es ist eine beliebte Taktik von Gegnern überall – weil es funktioniert.
Also, was machen wir? Wie können wir verhindern, dass dies geschieht?
Ich möchte sagen, dass dies nur ein Trainingsproblem ist. Dass Kunden, Mitarbeiter und Menschen überall besser geschult werden müssen. Sie müssen es besser machen – daran wird immer etwas Wahres dran sein. Aber als Cybersicherheitsexperten kann das nicht die Lösungsausrede sein, für die wir jedes Mal greifen, wenn dies passiert. Die Forschung zeigt immer wieder, dass alle Menschen irgendwann getäuscht werden können, egal wie aufmerksam, geschickt und vorbereitet sie sind. Wir müssen immer davon ausgehen, dass schlimme Dinge passieren werden. Wir müssen ständig innovativ sein, um die Effektivität dieser Angriffe zu verringern, und gleichzeitig danach streben, das Gesamterlebnis unserer Kunden und Mitarbeiter zu verbessern.
Können Sie irgendwelche Taktiken, Techniken und Verfahren (TTPs) teilen?
Das können wir sicher. Angesichts des breiten Spektrums an Unternehmen, auf die dieser Akteur abzielt, möchten wir, dass jeder weiß, was wir wissen. Hier sind einige spezifische Dinge, nach denen Sie in Ihren Unternehmensprotokollen / SIEM suchen sollten:
Jeglicher Webdatenverkehr von Ihren Technologieressourcen zu den folgenden Adressen, wobei * für Ihren Firmen- oder Organisationsnamen steht:
sso-*.com
*-sso.com
login.*-sso.com
Dashboard-*.com
*-dashboard.com
Alle Downloads oder versuchten Downloads der folgenden Remote-Desktop-Viewer:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Alle Versuche, von einem VPN-Drittanbieter, insbesondere Mullvad VPN, auf Ihr Unternehmen zuzugreifen.
Eingehende Anrufe / SMS von folgenden Anbietern:
Google Voice
Skype
Vonage/Nexmo
Bandbreite dot com“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Über uns
- Zugang
- Zugriff
- Konto
- Trading Konten
- Aktionen
- Aktivität
- berührt das Schneidwerkzeug
- hinzugefügt
- Adressen
- Nach der
- Aufmerksam
- Alle
- immer
- Betrag
- und
- jemand
- ca.
- Artikel
- Details
- damit verbundenen
- Annahme
- Attacke
- Anschläge
- Versuche
- Versuche
- Authentifizierung
- Zurück
- Badewanne
- weil
- wird
- begann
- Sein
- Glauben
- glaubt,
- Glauben
- Besser
- zwischen
- verstopft
- Blog
- Verletzung
- breit
- Geschäft
- namens
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- Häuser
- Fälle
- sicherlich
- Herausforderungen
- Umstände
- behauptet
- coinbase
- Coinbase
- COM
- Kommunikation
- Kommunikation
- community
- Unternehmen
- Unternehmen
- Unternehmen
- Kompromiss
- Kompromittiert
- Computer
- Computersicherheit
- BESTÄTIGT
- ständig
- Kontakt
- Kontakte
- Smartgeräte App
- Steuerung
- Gespräch
- Unternehmen
- Referenzen
- Krypto
- kryptowährung
- Kryptowährungskurs
- Währung
- Strom
- Kunde
- Kundendaten
- Kunden
- Cyber-
- Cyber Attacke
- Cyberkriminalität
- Cyber-Kriminelle
- Internet-Sicherheit
- technische Daten
- Tag
- Tage
- Abteilung
- entworfen
- Desktop
- Trotz
- Details
- anders
- schwer
- Direkt
- Direkt
- diskutieren
- DOT
- Downloads
- Früh
- Wirksamkeit
- Bemühungen
- Mitarbeiter
- Mitarbeiter
- Entwicklung
- Tritt ein
- Arbeitsumfeld
- ausgestattet
- Sogar
- Event
- schließlich
- Jedes
- jedermann
- genau
- Austausch-
- ERFAHRUNGEN
- erfahrensten
- Experten
- ausgesetzt
- Favorit
- Februar
- wenige
- Finden Sie
- Fest
- Vorname
- folgen
- Folgende
- unten stehende Formular
- Zum Glück
- Betrügern
- häufig
- für
- voller
- Mittel
- Gelder verloren
- Gewinnen
- gewinnen
- bekommen
- ABSICHT
- gegeben
- gehackt
- Hacker
- passieren
- passiert
- Los
- das passiert
- glücklich
- hart
- hören
- Hilfe
- hier
- hoch
- Startseite
- Ultraschall
- aber
- HTTPS
- Menschlichkeit
- identifizieren
- sofort
- wirkt
- wichtig
- zu unterstützen,
- in
- Zwischenfall
- Vorfallreaktion
- Einschließlich
- zunehmend
- Anzeige
- Krankengymnastik
- Information
- Informatik
- anfänglich
- innovativ
- Anleitung
- interessant
- intern
- Untersuchung
- Problem
- Probleme
- IT
- Wissen
- Landung
- Zielseite
- grosse
- Nachname
- Letztes Jahr
- Spät
- neueste
- ins Leben gerufen
- Schicht
- führenden
- gelernt
- Programm
- Limitiert
- LINK
- Links
- aussehen
- suchen
- Verlust
- Los
- gemacht
- Mehrheit
- um
- Management
- viele
- Materie
- Medien
- Mitglied
- Nachricht
- Nachrichten
- Messaging
- MFA
- Minuten
- Mobil
- Handy
- Mobiltelefone
- mehr
- vor allem warme
- Multi
- Multi-Faktor-Authentifizierung
- Name
- Namen
- fast
- Need
- erforderlich
- Neu
- weiter
- Anzahl
- Zahlen
- EINEM
- Online
- Organisation
- Gesamt-
- Teil
- Party
- Passwort
- Muster
- Personen
- Phishing
- Phishing-Attacke
- Telefon
- Anrufe
- Telefone
- Ort
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- gepostet
- bereit
- Aufgabenstellung:
- Verfahren
- Profis
- Profit
- Fortschritte gemacht
- Risiken zu minimieren
- geschützt
- die
- vorausgesetzt
- Versorger
- Anbieter
- Direkt
- erreichen
- erreicht
- Lesen Sie mehr
- bereit
- Realisierung
- Grund
- Gründe
- erhalten
- kürzlich
- kürzlich
- anerkannt
- empfehlen
- in Bezug auf
- verhältnismäßig
- bleibt bestehen
- entfernt
- Fernzugriff
- wiederholt
- Berichtet
- representiert
- Zugriffe
- falls angefordert
- Forschungsprojekte
- Antwort
- für ihren Verlust verantwortlich.
- Sicherheit
- Said
- Betrug
- Umfang
- Verbindung
- Sicherheitdienst
- Sendung
- empfindlich
- mehrere
- Teilen
- Shares
- Kurz
- Konzerte
- signifikant
- Ähnlichkeiten
- Einfacher
- da
- erfahren
- SMS
- So
- Social Media
- Soziale Technik
- Social Media
- Lösung
- einige
- etwas
- anspruchsvoll
- Sprechen
- spezifisch
- speziell
- Unser Team
- Anfang
- beginnt
- Erklärung
- Shritte
- Immer noch
- Tisch
- gestohlen
- Stoppen
- Geschichte
- so
- suspendiert
- misstrauisch
- System
- Systeme und Techniken
- Taktik
- sprechen
- gezielt
- Targeting
- Ziele
- Team
- Techniken
- Technologie
- zehn
- Das
- Die Coinbase
- ihr
- sich
- Dritte
- Bedrohung
- Durch
- Zeit
- zu
- Top
- der Verkehr
- trainiert
- Ausbildung
- Transparenz
- für
- verstehen
- ungewöhnlich
- Anwendungsbereich
- wertvoll
- Opfer
- weltweit
- VPN
- Wege
- Netz
- Web-Verkehr
- Webseite
- Was
- welche
- während
- werden wir
- .
- Arbeiten
- Werk
- Arbeitsplatz
- weltweit
- würde
- Falsch
- Jahr
- Ihr
- sich selbst
- Zephyrnet