Coinbasesta tulee viimeisin uhri kyberhyökkäykselle, jossa tuntematon uhkatekijä teki merkittäviä ponnisteluja rikkoakseen yhden maailman johtavan kryptovaluutanvaihtoalustan sisäisiä järjestelmiä tietojenkalasteluhyökkäyksen kautta.
Coinbase vahvisti verkkosivuillaan julkaistussa blogissaan yrityshakemistomme tiedot paljastetuksi sen jälkeen, kun kyberhyökkääjät onnistuivat murtautumaan sen järjestelmään. Coinbase sanoi lausunnossaan:
"Coinbase koki äskettäin kyberturvallisuushyökkäyksen, joka kohdistui yhteen sen työntekijöistä. Onneksi Coinbasen kybervalvonta esti hyökkääjää pääsemästä suoraan järjestelmään ja esti varojen menetyksen tai asiakastietojen vaarantumisen. Vain rajoitettu määrä tietoja yrityshakemistostamme paljastettiin."
Vaikka Coinbase sanoi, että asiakkaiden varat ja asiakkaiden tiedot ovat turvallisia, kyberturvallisuusyritys Group-IB lisäsi, että uhkatekijä varasti lähes 1,000 XNUMX yrityksen sisäänkirjautumistunnusta lähettämällä tietojenkalastelulinkkejä tekstiviestillä yrityksen työntekijöille.
Kyberrikollinen kohdistui alun perin Coinbasen työntekijöihin lähettämällä viisi tietojenkalastelutekstiviestiä, joissa heitä kehotettiin kirjautumaan kiireellisesti yrityksen tileilleen ja lukemaan tärkeä viesti. Viestit sisälsivät linkin, joka matki Coinbase-yrityksen kirjautumissivua, mutta se oli itse asiassa haitallinen aloitussivu, joka oli suunniteltu varastamaan arkaluontoisia tietoja.
Vaikka useimpia työntekijöitä ei huijattu tietojenkalastelulla, yksi työntekijä joutui huijaukseen ja antoi hakkereille heidän kirjautumistunnuksensa. Tili oli kuitenkin suojattu monitekijätodennuksella (MFA), joka rajoitti hakkereiden toimintaa. Siitä huolimatta he eivät antaneet periksi ja soittivat uhrille, teeskennellen olevansa yrityksen IT-osasto. He neuvoivat uhria kirjautumaan sisään työasemalle ja noudattamaan eri vaiheita.
Coinbase ilmoitti, että sen CSIRT:ltä (Computer Security Incident Response Team) kesti noin kymmenen minuuttia tunnistaakseen hyökkäyksen ja ottaakseen yhteyttä uhriin epäilyttävän toiminnan vuoksi. Uhri huomasi heti, että heitä oli huijattu, ja lopetti yhteydenpidon hyökkääjän kanssa.
Nykyisellä kampanjalla on yhtäläisyyksiä viime vuoden Scatter Swine/0ktapus -phishing-kampanjoiden kanssa, jotka Group-IB:n kyberasiantuntijat paljastavat johtivat lähes 1,000 XNUMX varastettuun yrityksen sisäänkirjautumiseen tietojenkalastelutekstiviestien kautta. Tästä huolimatta äskettäisen hyökkäyksen vastuullinen osapuoli on edelleen tuntematon.
Alla Coinbase selitti miten hyökkäys tapahtui.
"Tl;dr - Coinbase koki äskettäin kyberturvallisuushyökkäyksen, joka kohdistui yhteen sen työntekijään. Onneksi Coinbasen kybervalvonta esti hyökkääjää pääsemästä suoraan järjestelmään ja esti varojen menetyksen tai asiakastietojen vaarantumisen. Vain rajoitettu määrä tietoja yrityshakemistostamme paljastettiin. Coinbase uskoo läpinäkyvyyteen, ja haluamme työntekijöidemme, asiakkaidemme ja yhteisön kuulevan tämän hyökkäyksen yksityiskohdat ja jakavan tämän vastustajan käyttämät taktiikat, tekniikat ja menettelyt (TTP), jotta kaikki voivat suojautua paremmin.
Coinbasen asiakkaat ja työntekijät ovat usein huijareiden kohteita. Syy on yksinkertainen – valuutta missä tahansa muodossa, mukaan lukien krypto, on juuri sitä, mitä kyberrikolliset tavoittelevat. Ei ole vaikea ymmärtää, miksi niin monet vastustajat etsivät jatkuvasti tapoja tehdä nopeaa voittoa.
Näin suuren määrän vastustajia ja kyberturvallisuushaasteita käsitteleminen on yksi syistä, miksi pidän Coinbasea niin mielenkiintoisena työpaikkana. Tässä artikkelissa keskustelemme todellisesta kyberhyökkäyksestä ja siihen liittyvästä kybertapahtumasta, jota käsittelimme äskettäin täällä Coinbasessa. Vaikka olen erittäin iloinen voidessani todeta, että tämä ei vaikuttanut asiakasvaroihin tai asiakastietoihin, on silti opittavaa. Me Coinbasessa uskomme läpinäkyvyyteen. Puhumalla avoimesti tällaisista turvallisuusasioista uskon, että teemme koko yhteisön turvallisemmaksi ja tietoisemmaksi.
Tarinamme alkaa myöhään sunnuntaina 5. Useat työntekijöiden matkapuhelimet alkavat hälyttää tekstiviesteillä, jotka ilmoittavat, että heidän on kiireesti kirjauduttava sisään annetun linkin kautta saadakseen tärkeän viestin. Suurin osa jättää tämän pyytämättömän viestin huomiotta – yksi työntekijä, joka uskoo sen olevan tärkeä ja oikeutettu viesti, napsauttaa linkkiä ja syöttää käyttäjätunnuksensa ja salasanansa. "Sisäänkirjautumisen" jälkeen työntekijää kehotetaan jättämään viesti huomioimatta ja häntä kiitetään noudattamisesta.
Seuraavaksi tapahtui, että hyökkääjä, jolla oli laillinen Coinbasen työntekijän käyttäjätunnus ja salasana, yritti toistuvasti päästä etäkäyttöön Coinbaseen. Onneksi kybervalvontamme olivat valmiit. Hyökkääjä ei pystynyt antamaan vaadittuja Multi Factor Authentication (MFA) -tunnuksia – ja hänen pääsynsä estettiin. Monissa tapauksissa se olisi tarinan loppu. Mutta tämä ei ollut mikä tahansa hyökkääjä. Uskomme, että tämä henkilö liittyy erittäin pitkäjänteiseen ja hienostuneeseen hyökkäyskampanjaan, joka on kohdistunut useisiin yrityksiin viime vuodesta lähtien.
Noin 20 minuuttia myöhemmin työntekijämme matkapuhelin soi. Hyökkääjä väitti olevansa Coinbase yritystietotekniikasta (IT) ja tarvitsi työntekijän apua. Työntekijä uskoi puhuvansa laillisen Coinbase IT-henkilöstön kanssa, joten hän kirjautui heidän työasemalleen ja alkoi noudattaa hyökkääjän ohjeita. Siitä alkoi edestakaisin hyökkääjän ja yhä epäilyttävämmän työntekijän välillä. Keskustelun edetessä pyynnöt muuttuivat yhä epäilyttävämmiksi. Onneksi varoja ei otettu eikä asiakastietoja käsitelty tai katsottu, mutta työntekijöidemme yhteystietoja otettiin rajoitetusti, erityisesti työntekijöiden nimet, sähköpostiosoitteet ja jotkut puhelinnumerot.
Onneksi Computer Security Incident Response Team (CSIRT) oli tämän ongelman kärjessä hyökkäyksen ensimmäisten 10 minuutin aikana. CSIRT-ryhmämme sai SIEM-järjestelmämme varoituksen epätavallisesta toiminnasta. Pian tämän jälkeen yksi tapausvastaajistamme otti uhriin yhteyttä sisäisen Coinbase-viestijärjestelmämme kautta ja tiedusteli joitakin heidän tiliinsä liittyviä epätavallisia käyttäytymis- ja käyttötapoja. Ymmärtäessään, että jokin oli vakavasti vialla, työntekijä katkaisi yhteydenotot hyökkääjään.
CSIRT-tiimimme keskeytti välittömästi uhriksi joutuneen työntekijän pääsyn ja aloitti täydellisen tutkimuksen. Kerrostetun ohjausympäristömme ansiosta varoja ei menetetty eikä asiakastietoja vaarantunut. Siivous sujui suhteellisen nopeasti, mutta silti – tässä on paljon opittavaa.
Kuka tahansa voi olla sosiaalinen
Ihminen on sosiaalinen olento. Haluamme tulla toimeen. Haluamme olla osa tiimiä. Jos luulet, että hyvin toteutettu sosiaalisen suunnittelun kampanja ei voi pettää sinua – vitsailet itsellesi. Oikeissa olosuhteissa lähes kuka tahansa voi joutua uhriksi.
Vaikein hyökkäys kaikista vastustaa on suoran kontaktin sosiaalisen manipuloinnin hyökkäys, kuten työntekijämme kärsi täällä. Täällä hyökkääjä ottaa sinuun suoraan yhteyttä sosiaalisen median, matkapuhelimen kautta tai, mikä vielä pahempaa, kävelee kotiisi tai yritykseesi. Nämä hyökkäykset eivät ole uusia. Itse asiassa tällaisia hyökkäyksiä on varmasti tapahtunut ihmiskunnan alkuajoista lähtien. Se on vihollisten suosikkitaktiikka kaikkialla – koska se toimii.
Joten mitä me teemme? Miten voimme estää tämän tapahtuman?
Haluaisin sanoa, että tämä on vain koulutusongelma. Asiakkaita, työntekijöitä ja ihmisiä kaikkialla on koulutettava paremmin. Heidän on tehtävä paremmin – siinä on aina jotain totuutta. Mutta kyberturvallisuuden ammattilaisina se ei voi olla ratkaisusyy, johon pyrimme joka kerta kun näin tapahtuu. Tutkimukset osoittavat yhä uudelleen, että kaikki ihmiset voidaan lopulta huijata riippumatta siitä, kuinka valppaita, taitavia ja valmistautuneita he ovat. Meidän on aina lähdettävä siitä olettamuksesta, että huonoja asioita tapahtuu. Meidän on jatkuvasti innovoitava näiden hyökkäysten tehokkuutta ja pyrittävä parantamaan asiakkaidemme ja työntekijöidemme yleistä kokemusta.
Voitko jakaa taktiikoita, tekniikoita ja menettelytapoja (TTP)?
Voimme varmasti. Ottaen huomioon tämän toimijan kohteena olevien yritysten laaja valikoima, haluamme kaikkien tietävän, mitä tiedämme. Tässä on muutamia tiettyjä asioita, joita suosittelemme etsimään yrityslokeistasi / SIEM:istä:
Kaikki verkkoliikenne teknologiaomaisuuksistasi seuraaviin osoitteisiin, joissa * edustaa yrityksesi tai organisaatiosi nimeä:
sso-*.com
*-sso.com
kirjaudu sisään.*-sso.com
dashboard-*.com
*-dashboard.com
Seuraavien etätyöpöytäkatseluohjelmien lataukset tai latausyritykset:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Kaikki yritykset päästä organisaatioosi kolmannen osapuolen VPN-palveluntarjoajalta, erityisestiMullvad VPN:ltä.
Saapuvat puhelut / tekstiviestit seuraavilta palveluntarjoajilta:
Google Voice
Skype
Vonage/Nexmo
Kaistanleveys dot com”
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Meistä
- pääsy
- Accessed
- Tili
- Tilit
- toimet
- toiminta
- todella
- lisä-
- osoitteet
- Jälkeen
- Hälytys
- Kaikki
- aina
- määrä
- ja
- joku
- suunnilleen
- artikkeli
- Varat
- liittyvä
- olettamus
- hyökkäys
- Hyökkäykset
- yritettiin
- yrityksiä
- Authentication
- takaisin
- Huono
- koska
- tulee
- alkoi
- ovat
- Uskoa
- uskoo
- uskoa
- Paremmin
- välillä
- tukossa
- Blogi
- rikkominen
- laaja
- liiketoiminta
- nimeltään
- Puhelut
- Kampanja
- Kampanjat
- tapaus
- tapauksissa
- varmasti
- haasteet
- olosuhteet
- väitti
- coinbase
- Coinbase n
- KOM
- Viestintä
- Yhteydenpito
- yhteisö
- Yritykset
- yritys
- Yrityksen
- kompromissi
- Vaarantunut
- tietokone
- Tietoturva
- CONFIRMED
- alituisesti
- ottaa yhteyttä
- Yhteydet
- ohjaus
- valvonta
- Keskustelu
- Yrityksen
- Valtakirja
- Crypto
- kryptovaluutta
- Cryptocurrency Exchange
- valuutta
- Nykyinen
- asiakas
- asiakastiedot
- Asiakkaat
- cyber
- Cyber Attack
- KYBERRIKOLLINEN
- verkkorikollisille
- tietoverkkojen
- tiedot
- päivä
- päivää
- osasto
- suunniteltu
- pöytä-
- Huolimatta
- yksityiskohdat
- eri
- vaikea
- ohjata
- suoraan
- pohtia
- DOT
- lataukset
- sähköposti
- Varhainen
- tehokkuuden
- ponnisteluja
- Työntekijä
- työntekijää
- Tekniikka
- syöttää
- ympäristö
- varustettu
- Jopa
- tapahtuma
- lopulta
- Joka
- jokainen
- täsmälleen
- Vaihdetaan
- experience
- kokenut
- asiantuntijat
- avoin
- Suosikki
- helmikuu
- harvat
- Löytää
- Yritys
- Etunimi
- seurata
- jälkeen
- muoto
- Onneksi
- huijareiden
- tiheä
- alkaen
- koko
- varat
- varat menetetty
- Saada
- saamassa
- saada
- Antaa
- tietty
- hakkeroitu
- hakkerit
- tapahtua
- tapahtui
- Happening
- tapahtuu
- onnellinen
- Kova
- kuulla
- auttaa
- tätä
- erittäin
- Etusivu
- Miten
- Kuitenkin
- HTTPS
- Ihmiskunta
- tunnistaa
- heti
- vaikutti
- tärkeä
- parantaa
- in
- tapaus
- tapahtuman vastaus
- Mukaan lukien
- yhä useammin
- ilmaisee
- henkilökohtainen
- tiedot
- tietotekniikka
- ensin
- innovoidaan
- ohjeet
- mielenkiintoinen
- sisäinen
- tutkimus
- kysymys
- kysymykset
- IT
- Tietää
- lasku
- aloitussivu
- suuri
- Sukunimi
- Viime vuonna
- Myöhään
- uusin
- käynnistettiin
- kerroksittainen
- johtava
- oppinut
- Lessons
- rajallinen
- LINK
- linkit
- katso
- näköinen
- pois
- Erä
- tehty
- Enemmistö
- tehdä
- johto
- monet
- asia
- Media
- jäsen
- viesti
- viestien
- Viestit
- UM
- pöytäkirja
- Puhelinnumero
- kännykkä
- matkapuhelimet
- lisää
- eniten
- multi
- monitekstinen todentaminen
- nimi
- nimet
- lähes
- Tarve
- tarvitaan
- Uusi
- seuraava
- numero
- numerot
- ONE
- verkossa
- organisaatio
- yleinen
- osa
- puolue
- Salasana
- kuviot
- Ihmiset
- Phishing
- phishing-hyökkäys
- puhelin
- puheluista
- puhelimet
- Paikka
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- posted
- valmis
- Ongelma
- menettelyt
- ammattilaiset
- Voitto
- eteni
- suojella
- suojattu
- toimittaa
- mikäli
- toimittaja
- tarjoajat
- nopea
- tavoittaa
- saavutettu
- Lue
- valmis
- ymmärtämättä
- reason
- syistä
- vastaanottaa
- äskettäinen
- äskettäin
- tunnustettu
- suositella
- suhteen
- suhteellisesti
- jäännökset
- kaukosäädin
- etäkäyttö
- toistuva
- raportoitu
- edustaa
- pyynnöt
- tarvitaan
- tutkimus
- vastaus
- vastuullinen
- turvallisempaa
- Said
- Huijaus
- laajuus
- turvallinen
- turvallisuus
- lähettäminen
- sensible
- useat
- Jaa:
- osakkeet
- Pian
- Näytä
- merkittävä
- yhtäläisyyksiä
- Yksinkertainen
- koska
- taitava
- SMS
- So
- sosiaalinen
- Sosiaalinen insinööri
- sosiaalinen media
- ratkaisu
- jonkin verran
- jotain
- hienostunut
- puhuminen
- erityinen
- erityisesti
- Henkilöstö
- Alkaa
- alkaa
- Lausunto
- Askeleet
- Yhä
- varasti
- varastettu
- stop
- Tarina
- niin
- keskeytetty
- epäilyttävä
- järjestelmä
- järjestelmät
- taktiikka
- puhuminen
- kohdennettu
- kohdistaminen
- tavoitteet
- joukkue-
- tekniikat
- Elektroniikka
- kymmenen
- -
- Coinbase
- heidän
- itse
- asiat
- kolmas
- uhkaus
- Kautta
- aika
- että
- ylin
- liikenne
- koulutettu
- koulutus
- Läpinäkyvyys
- varten
- ymmärtää
- epätavallinen
- Käyttö
- arvokas
- kautta
- Uhri
- katsojat
- VPN
- tavalla
- verkko
- Verkkoliikenne
- Verkkosivu
- Mitä
- joka
- vaikka
- tulee
- sisällä
- Referenssit
- toimii
- työasema
- maailman
- olisi
- Väärä
- vuosi
- Sinun
- itse
- zephyrnet