A Coinbase egy olyan kibertámadás legújabb áldozatává válik, amelyben egy azonosítatlan fenyegetés szereplő jelentős erőfeszítéseket tett a világ egyik vezető kriptovaluta tőzsdei platformjának belső rendszereinek feltörésére egy adathalász támadás révén.
A Coinbase a honlapján közzétett blogban megerősítette, hogy a vállalati címtárunkból származó adatok nyilvánosságra kerültek, miután a számítógépes támadóknak sikerült feltörniük a rendszerét. A Coinbase közleményében azt írta:
„A Coinbase nemrégiben egy kiberbiztonsági támadást élt át, amely az egyik alkalmazottját célozta. Szerencsére a Coinbase kiberszabályozása megakadályozta, hogy a támadó közvetlenül hozzáférjen a rendszerhez, és megakadályozta a pénzeszközök elvesztését vagy az ügyfelek információinak veszélyeztetését. A vállalati címtárunkból csak korlátozott mennyiségű adat került nyilvánosságra.”
Bár a Coinbase szerint az ügyfelek pénzeszközei, valamint az ügyfelek adatai biztonságban vannak, a Group-IB kiberbiztonsági cég hozzátette, hogy a fenyegetettség szereplője csaknem 1,000 vállalati hozzáférési bejelentkezést lopott el azáltal, hogy SMS-ben adathalász linkeket küldött a vállalat alkalmazottainak.
A kiberbûnözõ kezdetben a Coinbase alkalmazottait vette célba öt adathalász SMS-üzenettel, amelyben felszólította õket, hogy sürgõsen jelentkezzenek be céges fiókjukba, és olvassanak el egy fontos üzenetet. Az üzenetek tartalmaztak egy linket, amely a Coinbase vállalati bejelentkezési oldalát utánozta, de valójában egy rosszindulatú nyitóoldal volt, amelyet érzékeny adatok ellopására terveztek.
Míg a legtöbb alkalmazottat nem tévesztette meg az adathalászat, egy alkalmazott beleesett a csalásba, és megadta a hackereknek a bejelentkezési adatait. A fiókot azonban többtényezős hitelesítéssel (MFA) védték, ami korlátozta a hackerek tevékenységét. Ennek ellenére nem adták fel, és a cég informatikai részlegének kiadva felhívták az áldozatot. Utasították az áldozatot, hogy jelentkezzen be a munkaállomásra, és kövessen különböző lépéseket.
A Coinbase jelentése szerint a CSIRT-jének (Computer Security Incident Response Team) körülbelül tíz percébe telt, amíg azonosította a támadást, és felvette a kapcsolatot az áldozattal a gyanús tevékenység miatt. Az áldozat azonnal felismerte, hogy becsapták őket, és befejezte a kommunikációt a támadóval.
A jelenlegi kampány hasonlóságot mutat a tavalyi Scatter Swine/0ktapus adathalász kampányokkal, amelyekről a Group-IB kiberszakértői felfedték, hogy csaknem 1,000 ellopott vállalati belépést eredményeztek adathalász SMS-üzenetekkel. Ennek ellenére a közelmúltbeli támadás felelőse továbbra sem ismert.
Lent Coinbase magyarázható hogyan történt a támadás.
„Tl;dr – A Coinbase nemrégiben egy kiberbiztonsági támadást élt át, amely az egyik alkalmazottját célozta. Szerencsére a Coinbase kiberszabályozása megakadályozta, hogy a támadó közvetlenül hozzáférjen a rendszerhez, és megakadályozta a pénzeszközök elvesztését vagy az ügyfelek információinak veszélyeztetését. Vállalati címtárunkból csak korlátozott mennyiségű adat került nyilvánosságra. A Coinbase hisz az átláthatóságban, és szeretnénk, ha alkalmazottaink, ügyfeleink és a közösség hallaná ennek a támadásnak a részleteit, és megosztaná az ellenfél által használt taktikákat, technikákat és eljárásokat (TTP), hogy mindenki jobban megvédhesse magát.
A Coinbase ügyfelei és alkalmazottai gyakori célpontjai a csalóknak. Az ok egyszerű – a kiberbűnözők pontosan a valutát keresik bármilyen formában, beleértve a kriptot is. Nem nehéz megérteni, miért keresi oly sok ellenfél folyton a gyors profitszerzés módját.
A sok ellenféllel és kiberbiztonsági kihívással való megküzdés az egyik oka annak, hogy a Coinbase-t olyan érdekes munkahelynek tartom. Ebben a cikkben egy tényleges kibertámadásról és a kapcsolódó számítógépes incidensről fogunk beszélni, amellyel a közelmúltban a Coinbase-en foglalkoztunk. Bár nagy örömmel mondhatom, hogy ebben az esetben az ügyfelek pénzeszközeit vagy az ügyfelek adatait nem érinti, még mindig vannak értékes tanulságok. A Coinbase-nél hiszünk az átláthatóságban. Úgy gondolom, hogy az ehhez hasonló biztonsági kérdésekről nyíltan beszélve az egész közösséget biztonságosabbá és tudatosabbá tesszük.
Történetünk 5. február 2023-én, vasárnap késő este kezdődik. Több munkavállalói mobiltelefon SMS-üzenetekkel kezd el riasztani, jelezve, hogy sürgősen be kell jelentkeznie a megadott linken, hogy fontos üzenetet kapjon. Míg a többség figyelmen kívül hagyja ezt a kéretlen üzenetet, az egyik alkalmazott, aki azt hiszi, hogy ez egy fontos és jogos üzenet, rákattint a hivatkozásra, és beírja felhasználónevét és jelszavát. A „bejelentkezést” követően a munkavállalót felszólítják, hogy hagyja figyelmen kívül az üzenetet, és megköszöni, hogy eleget tett.
Ezután az történt, hogy a támadó legitim Coinbase-alkalmazotti felhasználónévvel és jelszóval felvértezve ismételten kísérletet tett a Coinbase távoli elérésére. Szerencsére a kibervezérlésünk készen állt. A támadó nem tudta megadni a szükséges többtényezős hitelesítési (MFA) hitelesítési adatokat – és letiltották a hozzáférést. Sok esetben ez lenne a történet vége. De ez nem akármilyen támadó volt. Úgy gondoljuk, hogy ez a személy egy rendkívül kitartó és kifinomult támadási kampányhoz kapcsolódik, amely tavaly óta rengeteg vállalatot céloz meg.
Körülbelül 20 perccel később megszólalt az alkalmazottunk mobiltelefonja. A támadó azt állította, hogy a Coinbase vállalati információs technológiától (IT), és szükségük volt az alkalmazott segítségére. Az alkalmazott abban a hitben, hogy a Coinbase informatikai munkatársával beszélnek, bejelentkezett a munkaállomásra, és követni kezdte a támadó utasításait. Ezzel elkezdődött az oda-vissza csata a támadó és egy egyre gyanakvóbb alkalmazott között. A beszélgetés előrehaladtával a kérések egyre gyanúsabbak lettek. Szerencsére nem vettek fel pénzt, és nem fértek hozzá vagy néztek meg ügyféladatokat, de néhány korlátozott elérhetőségi adatot elvettek alkalmazottainkról, különösen az alkalmazottak nevét, e-mail címét és néhány telefonszámát.
Szerencsére a Computer Security Incident Response Team (CSIRT) már a támadás első 10 percében foglalkozott ezzel a problémával. CSIRT-nket szokatlan tevékenységre figyelmeztette a biztonsági incidens- és eseménykezelő (SIEM) rendszerünk. Nem sokkal ezután az egyik incidensre válaszoló munkatársunk a belső Coinbase üzenetküldő rendszerünkön keresztül megkereste az áldozatot, és érdeklődött a fiókjához kapcsolódó szokatlan viselkedési és használati minták felől. Az alkalmazott felismerve, hogy valami komoly baj van, megszakított minden kommunikációt a támadóval.
CSIRT-csapatunk azonnal felfüggesztette az áldozattá vált alkalmazott hozzáférését, és teljes körű vizsgálatot indított. A többrétegű vezérlőkörnyezetünknek köszönhetően nem veszítettek pénzeszközöket, és nem kerültek veszélybe az ügyféladatok. Viszonylag gyors volt a takarítás, de mégis – rengeteg tanulság van itt.
Bárki lehet szociális mérnök
Az emberek társas lények. Össze akarunk jönni. Szeretnénk a csapat részei lenni. Ha úgy gondolja, hogy nem tévesztheti meg egy jól végrehajtott social engineering kampány, akkor vicceli magát. Megfelelő körülmények között szinte bárki áldozat lehet.
A legnehezebb támadásnak ellenállni egy közvetlen kontaktus social engineering támadás, mint amilyent itt alkalmazottunk szenvedett el. Itt a támadó közvetlenül kapcsolatba lép Önnel a közösségi médián, a mobiltelefonon keresztül, vagy ami még rosszabb, felmegy az otthonába vagy a munkahelyére. Ezek a támadások nem újak. Valójában az ilyen típusú támadások minden bizonnyal az emberiség korai napjai óta történnek. Ez az ellenfelek kedvenc taktikája mindenhol – mert működik.
Szóval mit csináljunk? Hogyan akadályozzuk meg, hogy ez megtörténjen?
Azt szeretném mondani, hogy ez csak edzésprobléma. Hogy az ügyfeleket, az alkalmazottakat és az embereket mindenhol jobban kell képezni. Jobban kell dolgozniuk – ebben mindig lesz valami igazság. De mint kiberbiztonsági szakemberek, ez nem lehet a megoldási kifogás, amelyhez minden alkalommal nyúlunk, amikor ez megtörténik. A kutatások újra és újra azt mutatják, hogy végül minden embert meg lehet hülyíteni, függetlenül attól, hogy mennyire éber, képzett és felkészült. Mindig abból a feltételezésből kell dolgoznunk, hogy rossz dolgok fognak történni. Folyamatosan újításokra van szükségünk, hogy csökkentsük e támadások hatékonyságát, miközben ügyfeleink és alkalmazottaink általános élményének javítására is törekszünk.
Meg tud osztani bármilyen taktikát, technikát és eljárást (TTP)?
Biztosan tudunk. Tekintettel a szereplő által megcélzott vállalatok széles körére, szeretnénk, ha mindenki tudná, amit tudunk. Íme néhány konkrét dolog, amelyet javasolunk, hogy keressen a vállalati naplókban/SIEM-ben:
Bármilyen internetes forgalom a technológiai eszközökről a következő címekre, ahol a * a vállalat vagy szervezet nevét jelöli:
sso-*.com
*-sso.com
login.*-sso.com
dashboard-*.com
*-dashboard.com
A következő távoli asztali megjelenítők letöltése vagy letöltési kísérlete:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Bármilyen kísérlet, hogy hozzáférjen a szervezetéhez egy harmadik fél VPN-szolgáltatótól, különösen a Mullvad VPN-től.
Bejövő telefonhívások / szöveges üzenetek a következő szolgáltatóktól:
Google Voice
Skype
Vonage/Nexmo
Sávszélesség pont com”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Rólunk
- hozzáférés
- igénybe vett
- Fiók
- Fiókok
- cselekvések
- tevékenység
- tulajdonképpen
- hozzáadott
- címek
- Után
- Éber
- Minden termék
- mindig
- összeg
- és a
- bárki
- körülbelül
- cikkben
- Eszközök
- társult
- feltevés
- támadás
- Támadások
- megkísérelt
- Kísérletek
- Hitelesítés
- vissza
- Rossz
- mert
- válik
- kezdődött
- hogy
- Hisz
- úgy gondolja,
- hívő
- Jobb
- között
- zárolt
- Blog
- megsértése
- széles
- üzleti
- hívott
- kéri
- Kampány
- Kampányok
- eset
- esetek
- biztosan
- kihívások
- körülmények
- azt állította,
- coinbase
- Coinbase a
- COM
- közlés
- távközlés
- közösség
- Companies
- vállalat
- Társaságé
- kompromisszum
- Veszélyeztetett
- számítógép
- Számítógép biztonság
- MEGERŐSÍTETT
- állandóan
- kapcsolat
- Kapcsolatok
- ellenőrzés
- ellenőrzések
- Beszélgetés
- Társasági
- Hitelesítő adatok
- crypto
- cryptocurrency
- Kriptovaluta tőzsde
- Valuta
- Jelenlegi
- vevő
- ügyféladatok
- Ügyfelek
- cyber
- Cyber Attack
- KIBERBŰNÖZŐ
- kiberbűnözők
- Kiberbiztonság
- dátum
- nap
- Nap
- osztály
- tervezett
- asztali
- Ellenére
- részletek
- különböző
- nehéz
- közvetlen
- közvetlenül
- megvitatni
- DOT
- letöltések
- Korai
- hatékonyság
- erőfeszítések
- munkavállaló
- alkalmazottak
- Mérnöki
- belép
- Környezet
- felszerelt
- Még
- esemény
- végül is
- Minden
- mindenki
- pontosan
- csere
- tapasztalat
- tapasztalt
- szakértők
- kitett
- Kedvenc
- február
- kevés
- Találjon
- Cég
- vezetéknév
- következik
- következő
- forma
- szerencsére
- csalók
- gyakori
- ból ből
- Tele
- alapok
- elveszett pénzeszközök
- Nyereség
- egyre
- kap
- Ad
- adott
- csapkodott
- hackerek
- történik
- történt
- Esemény
- megtörténik
- boldog
- Kemény
- hall
- segít
- itt
- nagyon
- Kezdőlap
- Hogyan
- azonban
- HTTPS
- Emberiség
- azonosítani
- azonnal
- befolyásolta
- fontos
- javul
- in
- incidens
- eseményre adott válasz
- Beleértve
- egyre inkább
- jelezve
- egyéni
- információ
- információs technológia
- alapvetően
- újító
- utasítás
- érdekes
- belső
- vizsgálat
- kérdés
- kérdések
- IT
- Ismer
- leszállási
- a nyitóoldal
- nagy
- keresztnév
- Tavaly
- Késő
- legutolsó
- indított
- réteges
- vezető
- tanult
- Tanulságok
- Korlátozott
- LINK
- linkek
- néz
- keres
- le
- Sok
- készült
- Többség
- csinál
- vezetés
- sok
- Anyag
- Média
- tag
- üzenet
- üzenetek
- üzenetküldés
- MFA
- jegyzőkönyv
- Mobil
- mobiltelefon
- mobiltelefonok
- több
- a legtöbb
- több
- többfaktoros hitelesítés
- név
- nevek
- közel
- Szükség
- szükséges
- Új
- következő
- szám
- számok
- ONE
- online
- szervezet
- átfogó
- rész
- párt
- Jelszó
- minták
- Emberek (People)
- Adathalászat
- adathalász támadás
- telefon
- telefonhívások
- telefonok
- Hely
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- kiküldött
- előkészített
- Probléma
- eljárások
- tehetséges alkalmazottal
- Nyereség
- haladt
- védelme
- védett
- ad
- feltéve,
- ellátó
- szolgáltatók
- Quick
- el
- elérte
- Olvass
- kész
- felismerve
- ok
- miatt
- kap
- új
- nemrég
- elismert
- ajánl
- tekintettel
- viszonylag
- maradványok
- távoli
- távoli hozzáférés
- megismételt
- Számolt
- jelentése
- kéri
- kötelező
- kutatás
- válasz
- felelős
- biztonságosabb
- Mondott
- Átverés
- hatálya
- biztonság
- biztonság
- elküldés
- érzékeny
- számos
- Megosztás
- Megoszt
- Hamarosan
- Műsorok
- jelentős
- hasonlóságok
- Egyszerű
- óta
- szakképzett
- SMS
- So
- Közösség
- Szociális tervezés
- Közösségi média
- megoldások
- néhány
- valami
- kifinomult
- beszélő
- különleges
- kifejezetten
- Személyzet
- kezdet
- kezdődik
- nyilatkozat
- Lépései
- Még mindig
- stóla
- lopott
- megáll
- Történet
- ilyen
- felfüggesztett
- gyanús
- rendszer
- Systems
- taktika
- beszéd
- célzott
- célzás
- célok
- csapat
- technikák
- Technológia
- tíz
- A
- A Coinbase
- azok
- maguk
- dolgok
- Harmadik
- fenyegetés
- Keresztül
- idő
- nak nek
- felső
- forgalom
- kiképzett
- Képzések
- Átláthatóság
- alatt
- megért
- szokatlan
- Használat
- Értékes
- keresztül
- Áldozat
- nézők
- VPN
- módon
- háló
- Webes forgalom
- weboldal
- Mit
- ami
- míg
- lesz
- belül
- Munka
- művek
- munkaállomás
- világ
- lenne
- Rossz
- év
- A te
- magad
- zephyrnet