Coinbase'ist saab viimane küberrünnaku ohver, mille käigus tuvastamata ohus osaleja tegi olulisi jõupingutusi, et murda andmepüügirünnaku kaudu maailma ühe juhtiva krüptovaluutavahetusplatvormi sisesüsteeme.
Coinbase kinnitas oma veebisaidile postitatud ajaveebis, et meie ettevõtte kataloogi andmed avalikustati pärast seda, kui küberründajatel õnnestus selle süsteemi rikkuda. Coinbase ütles oma avalduses:
"Coinbase koges hiljuti küberturvarünnakut, mis oli suunatud ühele selle töötajale. Õnneks takistasid Coinbase'i küberkontrollid ründajal otsest juurdepääsu süsteemile ja hoidsid ära rahaliste vahendite kadumise või kliendi teabe ohtu sattumise. Meie ettevõtte kataloogist avaldati ainult piiratud hulk andmeid.
Kuigi Coinbase'i sõnul on klientide raha ja ka kliendiandmed turvalised, lisas küberturvalisuse ettevõte Group-IB, et ohutegija varastas peaaegu 1,000 ettevõtte juurdepääsu sisselogimist, saates ettevõtte töötajatele SMS-i kaudu andmepüügilinke.
Küberkurjategija võttis algselt sihikule Coinbase'i töötajad, saates viis andmepüügi SMS-sõnumit, kutsudes neid kiiresti oma ettevõtte kontodele sisse logima ja olulist sõnumit lugema. Sõnumid sisaldasid linki, mis jäljendas Coinbase'i ettevõtte sisselogimislehte, kuid tegelikult oli tegu pahatahtliku sihtlehega, mille eesmärk oli varastada tundlikke andmeid.
Kui enamik töötajaid andmepüügist ei petnud, langes üks töötaja petuskeemi alla ja andis häkkeritele sisselogimismandaadid. Konto oli aga kaitstud mitmefaktorilise autentimisega (MFA), mis piiras häkkerite tegevust. Sellest hoolimata ei andnud nad alla ja helistasid kannatanule, teeseldes, et on ettevõtte IT-osakond. Nad käskisid ohvril tööjaama sisse logida ja erinevaid samme järgida.
Coinbase teatas, et CSIRT-l (Computer Security Incident Response Team) kulus rünnaku tuvastamiseks ja kahtlase tegevuse osas ohvriga ühenduse võtmiseks umbes kümme minutit. Ohver sai kohe aru, et neid peteti, ja lõpetas ründajaga suhtlemise.
Praegusel kampaanial on sarnasusi eelmise aasta Scatter Swine/0ktapus andmepüügikampaaniatega, mille käigus Group-IB kübereksperdid avalikustasid, et andmepüügi SMS-sõnumite kaudu varastati ettevõttele ligi 1,000 sisselogimist. Sellest hoolimata on hiljutise rünnaku eest vastutav osapool teadmata.
Allpool Coinbase selgitas kuidas rünnak toimus.
„Tl;dr – Coinbase koges hiljuti küberjulgeolekurünnakut, mis oli suunatud ühele tema töötajale. Õnneks takistasid Coinbase'i küberkontrollid ründajal otsest juurdepääsu süsteemile ja hoidsid ära rahaliste vahendite kadumise või kliendi teabe ohtu sattumise. Meie ettevõtte kataloogist avaldati ainult piiratud hulk andmeid. Coinbase usub läbipaistvusse ja soovime, et meie töötajad, kliendid ja kogukond kuuleksid selle rünnaku üksikasju ning jagaksid selle vastase kasutatavaid taktikaid, tehnikaid ja protseduure (TTP), et kõik saaksid end paremini kaitsta.
Coinbase'i kliendid ja töötajad on sagedased petturite sihtmärgid. Põhjus on lihtne – küberkurjategijad otsivad täpselt valuutat mis tahes kujul, sealhulgas krüpto. Pole raske mõista, miks nii paljud vastased otsivad pidevalt võimalusi kiireks kasumiks.
Nii suure hulga vastaste ja küberjulgeoleku väljakutsetega tegelemine on üks põhjusi, miks Coinbase on minu arvates nii huvitav töökoht. Selles artiklis käsitleme tegelikku küberrünnakut ja sellega seotud küberintsidenti, mida hiljuti siin Coinbase'is käsitlesime. Kuigi mul on väga hea meel öelda, et antud juhul ei mõjutanud see kliendi raha ega klienditeavet, on siiski väärtuslikke õppetunde, mida õppida. Coinbase'is usume läbipaistvusse. Usun, et sellistest turvaprobleemidest avalikult rääkides muudame kogu kogukonna turvalisemaks ja turvateadlikumaks.
Meie lugu algab pühapäeval, 5. veebruaril 2023 hilisõhtul. Mitmed töötajate mobiiltelefonid hakkavad hoiatama SMS-sõnumitega, mis annavad märku, et olulise sõnumi saamiseks tuleb kiiresti sisse logida antud lingi kaudu. Kuigi enamik ignoreerib seda küsimata sõnumit, klõpsab üks töötaja, kes usub, et see on oluline ja õigustatud sõnum, lingil ja sisestab oma kasutajanime ja parooli. Pärast "sisselogimist" palutakse töötajal teadet eirata ja tänatakse järgimise eest.
Edasi juhtus see, et Coinbase'i seadusliku kasutajanime ja parooliga varustatud ründaja üritas korduvalt Coinbase'ile kaugjuurdepääsu saada. Õnneks olid meie küberkontrollid valmis. Ründaja ei suutnud esitada nõutavaid mitmefaktorilise autentimise (MFA) mandaate – ja tema juurdepääs blokeeriti. Paljudel juhtudel oleks see loo lõpp. Kuid see polnud lihtsalt üks ründaja. Usume, et see isik on seotud väga püsiva ja keeruka ründekampaaniaga, mis on olnud alates eelmisest aastast suunatud paljudele ettevõtetele.
Umbes 20 minutit hiljem helises meie töötaja mobiiltelefon. Ründaja väitis, et on pärit Coinbase'i ettevõtte infotehnoloogiast (IT) ja nad vajasid töötaja abi. Uskudes, et nad rääkisid seadusliku Coinbase'i IT-töötajaga, logis töötaja sisse nende tööjaama ja hakkas järgima ründaja juhiseid. Sellest sai alguse edasi-tagasi rünnak ründaja ja üha kahtlustavama töötaja vahel. Vestluse edenedes muutusid taotlused aina kahtlasemaks. Õnneks raha ei võetud ja klienditeavet ei vaadatud ega vaadatud, kuid meie töötajate kontaktandmed võeti ära, täpsemalt töötajate nimed, e-posti aadressid ja mõned telefoninumbrid.
Õnneks oli meie arvutiturbe intsidentidele reageerimise meeskond (CSIRT) selle probleemiga kursis esimese 10 minuti jooksul pärast rünnakut. Meie turvaintsidentide ja sündmuste haldamise (SIEM) süsteem andis meie CSIRT-ile märku ebatavalisest tegevusest. Varsti pärast seda võttis üks meie intsidendile reageerijatest meie sisemise Coinbase'i sõnumsidesüsteemi kaudu ohvriga ühendust, uurides mõne nende kontoga seotud ebatavalise käitumise ja kasutusmustrite kohta. Mõistes, et midagi on tõsiselt valesti, katkestas töötaja igasuguse suhtluse ründajaga.
Meie CSIRT-i meeskond peatas viivitamatult ohvriks langenud töötaja juurdepääsu ja alustas täielikku uurimist. Meie mitmekihilise juhtimiskeskkonna tõttu ei läinud raha kaduma ja klienditeavet ei ohustatud. Puhastus läks suhteliselt kiiresti, aga siiski – siit on palju õppetunde.
Igaüks võib olla sotsiaalselt kujundatud
Inimesed on sotsiaalsed olendid. Me tahame läbi saada. Tahame olla osa meeskonnast. Kui arvate, et hästi läbiviidud sotsiaalse manipuleerimise kampaania ei saa teid petta, teete nalja. Õigetes tingimustes võib peaaegu igaüks olla ohver.
Kõige raskem vastu seista on otsekontaktiga sotsiaalse manipuleerimise rünnak, nagu see, mida meie töötaja siin kannatas. See on koht, kus ründaja võtab teiega otse ühendust sotsiaalmeedia või mobiiltelefoni kaudu või, mis veelgi hullem, kõnnib teie koju või ettevõttesse. Need rünnakud pole uued. Tegelikult on seda tüüpi rünnakuid kindlasti toimunud inimkonna algusaegadest peale. See on kõikjal vastaste lemmiktaktika – sest see toimib.
Mida me siis teeme? Kuidas me selle juhtumise peatame?
Tahaksin öelda, et see on lihtsalt koolitusprobleem. Et kliente, töötajaid ja inimesi kõikjal tuleb paremini koolitada. Nad peavad tegema paremini – selles on alati tõde. Kuid küberjulgeoleku professionaalidena ei saa see olla vabandus, mille poole me iga kord, kui see juhtub. Uuringud näitavad ikka ja jälle, et kõik inimesed võivad lõpuks lolliks saada, olenemata sellest, kui erksad, osavad ja valmis nad on. Peame alati töötama eeldusel, et halbu asju juhtub. Peame nende rünnakute tõhususe vähendamiseks pidevalt uuendusi tegema, püüdes samal ajal parandada oma klientide ja töötajate üldist kogemust.
Kas saate jagada taktikaid, tehnikaid ja protseduure (TTP)?
Kindlasti saame. Arvestades selle osaleja sihtrühma kuuluvate ettevõtete laia ulatust, tahame, et kõik teaksid, mida me teame. Siin on mõned konkreetsed asjad, mida soovitame teil oma ettevõtte logidest / SIEM-ist otsida.
Mis tahes veebiliiklus teie tehnoloogiavaradest järgmistele aadressidele, kus * tähistab teie ettevõtte või organisatsiooni nime:
sso-*.com
*-sso.com
login.*-sso.com
armatuurlaud-*.com
*-dashboard.com
Järgmiste kaugtöölauavaaturite allalaadimised või allalaadimiskatsed:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Kõik katsed pääseda teie organisatsiooni juurde kolmanda osapoole VPN-i pakkujalt, täpsemalt Mullvad VPN-ilt.
Sissetulevad telefonikõned/tekstsõnumid järgmistelt pakkujatelt:
Google Voice
Skype
Vonage/Nexmo
Bandwidth dot com”
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- MEIST
- juurdepääs
- pääses
- konto
- Kontod
- meetmete
- tegevus
- tegelikult
- lisatud
- aadressid
- pärast
- Häire
- Materjal: BPA ja flataatide vaba plastik
- alati
- summa
- ja
- keegi
- umbes
- artikkel
- vara
- seotud
- eeldus
- rünnak
- Reageerib
- üritasin
- Katsed
- Autentimine
- tagasi
- Halb
- sest
- muutub
- hakkas
- on
- Uskuma
- usub,
- uskudes
- Parem
- vahel
- blokeeritud
- Blogi
- rikkumine
- lai
- äri
- kutsutud
- Kutsub
- Kampaania
- Kampaaniad
- juhul
- juhtudel
- kindlasti
- väljakutseid
- asjaolusid
- väitis
- coinbase
- Coinbase's
- COM
- KOMMUNIKATSIOON
- Side
- kogukond
- Ettevõtted
- ettevõte
- Ettevõtte omad
- kompromiss
- Kompromissitud
- arvuti
- Arvuti turvalisus
- KINNITATUD
- pidevalt
- kontakt
- sidemed
- kontrollida
- kontrolli
- Vestlus
- Korporatiivne
- volikiri
- krüpto
- cryptocurrency
- Krüptovaluutavahetus
- valuuta
- Praegune
- klient
- kliendi andmed
- Kliendid
- cyber
- küberrünnak
- KÜBERKRIMINAAL
- küberkurjategijad
- Küberturvalisus
- andmed
- päev
- Päeva
- osakond
- kavandatud
- lauaarvuti
- Vaatamata
- detailid
- erinev
- raske
- otsene
- otse
- arutama
- DOT
- allalaadimine
- e-post
- Varajane
- tõhusus
- jõupingutusi
- Töötaja
- töötajad
- Inseneriteadus
- Siseneb
- keskkond
- varustatud
- Isegi
- sündmus
- lõpuks
- Iga
- igaüks
- täpselt
- vahetamine
- kogemus
- kogenud
- ekspertide
- avatud
- Lemmik
- Veebruar
- vähe
- leidma
- Firma
- esimene
- järgima
- Järel
- vorm
- Õnneks
- petturid
- sage
- Alates
- täis
- raha
- kaotatud vahendid
- kasu
- kasumi saamine
- saama
- Andma
- antud
- häkkinud
- häkkerid
- juhtuda
- juhtus
- Juhtub
- juhtub
- õnnelik
- Raske
- kuulama
- aitama
- siin
- kõrgelt
- Avaleht
- Kuidas
- aga
- HTTPS
- Inimkond
- identifitseerima
- kohe
- mõjutatud
- oluline
- parandama
- in
- juhtum
- intsidentidele reageerimine
- Kaasa arvatud
- üha rohkem
- Näitab
- eraldi
- info
- infotehnoloogia
- esialgu
- uuenduslik
- juhised
- huvitav
- sisemine
- uurimine
- probleem
- küsimustes
- IT
- Teadma
- maandumine
- kodulehe
- suur
- viimane
- Eelmisel aastal
- Hilja
- hiljemalt
- käivitatud
- Kihiline
- juhtivate
- õppinud
- Lessons
- piiratud
- LINK
- lingid
- Vaata
- otsin
- kaotus
- Partii
- tehtud
- Enamus
- tegema
- juhtimine
- palju
- küsimus
- Meedia
- liige
- sõnum
- kirjad
- Sõnumid
- MFA
- protokoll
- mobiilne
- mobiiltelefon
- mobiiltelefonid
- rohkem
- kõige
- multi
- mitme faktori autentimine
- nimi
- nimed
- peaaegu
- Vajadus
- vaja
- Uus
- järgmine
- number
- numbrid
- ONE
- Internetis
- organisatsioon
- üldine
- osa
- partei
- Parool
- mustrid
- Inimesed
- Phishing
- õngevõtmiskatset
- telefon
- telefonikõned
- telefonid
- Koht
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- postitanud
- valmis
- Probleem
- menetlused
- spetsialistid
- Kasum
- edenenud
- kaitsma
- kaitstud
- anda
- tingimusel
- tarnija
- pakkujad
- Kiire
- jõudma
- jõudis
- Lugenud
- valmis
- realiseerimisel
- põhjus
- põhjustel
- saama
- hiljuti
- hiljuti
- tunnustatud
- soovitama
- kohta
- suhteliselt
- jäänused
- kauge
- Remote Access
- korduv
- Teatatud
- esindab
- Taotlusi
- nõutav
- teadustöö
- vastus
- vastutav
- ohutum
- Ütlesin
- Pettus
- ulatus
- kindlustama
- turvalisus
- saatmine
- tundlik
- mitu
- Jaga
- Aktsiad
- Varsti
- Näitused
- märkimisväärne
- sarnasused
- lihtne
- alates
- osav
- SMS
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- Sotsiaalse meedia
- lahendus
- mõned
- midagi
- keeruline
- rääkimine
- konkreetse
- eriti
- Personal
- algus
- algab
- väljavõte
- Sammud
- Veel
- varastas
- varastatud
- Peatus
- Lugu
- selline
- peatatud
- kahtlane
- süsteem
- süsteemid
- taktika
- rääkimine
- suunatud
- sihtimine
- eesmärgid
- meeskond
- tehnikat
- Tehnoloogia
- kümme
- .
- Mündibaas
- oma
- ennast
- asjad
- Kolmas
- oht
- Läbi
- aeg
- et
- ülemine
- liiklus
- koolitatud
- koolitus
- läbipaistvus
- all
- mõistma
- ebatavaline
- Kasutus
- väärtuslik
- kaudu
- Ohver
- Vaatajad
- VPN
- kuidas
- web
- Veebiliiklus
- veebisait
- M
- mis
- kuigi
- will
- jooksul
- Töö
- töötab
- töökoht
- maailma
- oleks
- Vale
- aasta
- Sinu
- ise
- sephyrnet