Coinbase menjadi korban terbaru serangan dunia maya di mana aktor ancaman tak dikenal melakukan upaya signifikan untuk menembus sistem internal salah satu platform pertukaran mata uang kripto terkemuka dunia melalui serangan phishing.
Dalam sebuah blog yang diposting di situs webnya, Coinbase mengonfirmasi bahwa data dari direktori perusahaan kami terungkap setelah penyerang dunia maya berhasil menembus sistemnya. Dalam sebuah pernyataan, Coinbase mengatakan:
“Coinbase baru-baru ini mengalami serangan keamanan siber yang menargetkan salah satu karyawannya. Untungnya, kontrol dunia maya Coinbase mencegah penyerang mendapatkan akses sistem langsung dan mencegah hilangnya dana atau penyusupan informasi pelanggan. Hanya sejumlah kecil data dari direktori perusahaan kami yang diekspos.”
Meskipun Coinbase mengatakan bahwa dana pelanggan, serta data pelanggan, aman, firma keamanan siber Group-IB menambahkan bahwa pelaku ancaman mencuri hampir 1,000 login akses perusahaan dengan mengirimkan tautan phishing melalui SMS ke karyawan perusahaan.
Penjahat dunia maya awalnya menargetkan karyawan Coinbase dengan mengirimkan lima pesan SMS phishing yang mendesak mereka untuk segera masuk ke akun perusahaan mereka dan membaca pesan penting. Pesan tersebut berisi tautan yang meniru halaman login perusahaan Coinbase, tetapi sebenarnya itu adalah halaman arahan berbahaya yang dirancang untuk mencuri data sensitif.
Sementara sebagian besar karyawan tidak tertipu oleh phishing, satu karyawan tertipu dan memberikan kredensial login mereka kepada peretas. Namun, akun tersebut dilindungi dengan autentikasi multi-faktor (MFA), yang membatasi tindakan peretas. Meskipun demikian, mereka tidak menyerah dan menelepon korban, berpura-pura menjadi departemen TI perusahaan. Mereka menginstruksikan korban untuk masuk ke workstation dan mengikuti langkah-langkah yang berbeda.
Coinbase melaporkan bahwa CSIRT (Computer Security Incident Response Team) membutuhkan waktu sekitar sepuluh menit untuk mengidentifikasi serangan dan menghubungi korban terkait aktivitas mencurigakan tersebut. Korban segera menyadari bahwa mereka ditipu dan mengakhiri komunikasi dengan penyerang.
Kampanye saat ini memiliki kemiripan dengan kampanye phishing Scatter Swine/0ktapus tahun lalu, yang diungkapkan oleh pakar dunia maya dari Group-IB yang mengakibatkan hampir 1,000 login akses korporat yang dicuri melalui pesan SMS phishing. Meskipun demikian, pihak yang bertanggung jawab atas serangan baru-baru ini masih belum diketahui.
Di bawah, Coinbase menjelaskan bagaimana serangan itu terjadi.
“Tl;dr – Coinbase baru-baru ini mengalami serangan keamanan siber yang menargetkan salah satu karyawannya. Untungnya, kontrol dunia maya Coinbase mencegah penyerang mendapatkan akses sistem langsung dan mencegah hilangnya dana atau penyusupan informasi pelanggan. Hanya sejumlah kecil data dari direktori perusahaan kami yang diekspos. Coinbase percaya pada transparansi, dan kami ingin karyawan, pelanggan, dan komunitas kami mendengar detail serangan ini dan membagikan Taktik, Teknik, dan Prosedur (TTP) yang digunakan oleh musuh ini sehingga semua orang dapat melindungi diri mereka sendiri dengan lebih baik.
Pelanggan dan karyawan Coinbase sering menjadi sasaran penipu. Alasannya sederhana – mata uang dalam bentuk apa pun, termasuk crypto, persis seperti yang diincar penjahat dunia maya. Tidak sulit untuk memahami mengapa begitu banyak musuh terus mencari cara untuk mendapatkan keuntungan dengan cepat.
Berurusan dengan begitu banyak musuh dan tantangan keamanan siber adalah salah satu alasan mengapa saya menemukan Coinbase sebagai tempat yang menarik untuk bekerja. Pada artikel ini kita akan membahas serangan dunia maya yang sebenarnya dan insiden dunia maya terkait yang baru-baru ini kami tangani di sini di Coinbase. Meskipun saya sangat senang untuk mengatakan bahwa dalam kasus ini tidak ada dana pelanggan atau informasi pelanggan yang terpengaruh, masih ada pelajaran berharga yang bisa dipetik. Di Coinbase kami percaya pada transparansi. Dengan berbicara secara terbuka tentang masalah keamanan seperti ini, saya yakin kami membuat seluruh komunitas lebih aman dan sadar akan keamanan.
Kisah kami dimulai pada sore hari pada hari Minggu tanggal 5 Februari 2023. Beberapa ponsel karyawan mulai waspada dengan pesan SMS yang menunjukkan bahwa mereka harus segera masuk melalui tautan yang disediakan untuk menerima pesan penting. Sementara sebagian besar mengabaikan pesan yang tidak diminta ini – satu karyawan, percaya bahwa itu adalah pesan yang penting dan sah, mengklik tautan dan memasukkan nama pengguna dan kata sandi mereka. Setelah "masuk", karyawan diminta untuk mengabaikan pesan tersebut dan berterima kasih karena telah mematuhinya.
Apa yang terjadi selanjutnya adalah penyerang, yang dilengkapi dengan nama pengguna dan kata sandi karyawan Coinbase yang sah, melakukan upaya berulang kali untuk mendapatkan akses jarak jauh ke Coinbase. Untungnya kontrol dunia maya kami sudah siap. Penyerang tidak dapat memberikan kredensial Multi Factor Authentication (MFA) yang diperlukan – dan diblokir untuk mendapatkan akses. Dalam banyak kasus, itu akan menjadi akhir cerita. Tapi ini bukan sembarang penyerang. Kami percaya individu ini terkait dengan kampanye serangan yang sangat gigih dan canggih yang telah menargetkan banyak perusahaan sejak tahun lalu.
Sekitar 20 menit kemudian telepon genggam karyawan kami berdering. Penyerang mengaku dari Perusahaan Teknologi Informasi (TI) Coinbase dan mereka membutuhkan bantuan karyawan. Percaya bahwa mereka sedang berbicara dengan anggota staf TI Coinbase yang sah, karyawan tersebut masuk ke workstation mereka dan mulai mengikuti instruksi penyerang. Itu memulai bolak-balik antara penyerang dan karyawan yang semakin mencurigakan. Saat percakapan berlanjut, permintaan semakin mencurigakan. Untungnya tidak ada dana yang diambil dan tidak ada informasi pelanggan yang diakses atau dilihat, tetapi beberapa informasi kontak terbatas untuk karyawan kami diambil, khususnya nama karyawan, alamat email, dan beberapa nomor telepon.
Untungnya, Tim Respons Insiden Keamanan Komputer (CSIRT) kami mengatasi masalah ini dalam 10 menit pertama serangan. CSIRT kami diberi tahu tentang aktivitas yang tidak biasa oleh sistem Security Incident and Event Management (SIEM) kami. Tak lama kemudian, salah satu penanggap insiden kami menghubungi korban melalui sistem perpesanan Coinbase internal kami menanyakan tentang beberapa perilaku tidak biasa dan pola penggunaan yang terkait dengan akun mereka. Menyadari ada sesuatu yang sangat salah, karyawan tersebut memutuskan semua komunikasi dengan penyerang.
Tim CSIRT kami segera menangguhkan semua akses untuk karyawan yang menjadi korban dan meluncurkan penyelidikan penuh. Karena lingkungan kontrol berlapis kami, tidak ada dana yang hilang dan tidak ada informasi pelanggan yang disusupi. Pembersihannya relatif cepat, tapi tetap saja – ada banyak pelajaran yang bisa dipetik di sini.
Siapapun bisa direkayasa secara sosial
Manusia adalah makhluk sosial. Kami ingin bergaul. Kami ingin menjadi bagian dari tim. Jika Anda pikir Anda tidak bisa dibodohi oleh kampanye rekayasa sosial yang dijalankan dengan baik – Anda menipu diri sendiri. Dalam situasi yang tepat, hampir semua orang bisa menjadi korban.
Serangan yang paling sulit untuk dilawan adalah serangan rekayasa sosial kontak langsung, seperti yang dialami karyawan kami di sini. Di sinilah penyerang langsung menghubungi Anda melalui media sosial, ponsel Anda, atau lebih buruk lagi, berjalan ke rumah atau tempat usaha Anda. Serangan ini bukanlah hal baru. Sebenarnya, serangan semacam ini sudah pasti terjadi sejak awal umat manusia. Ini adalah taktik favorit musuh di mana pun – karena berhasil.
Jadi apa yang kita lakukan? Bagaimana kita menghentikan hal ini terjadi?
Saya ingin mengatakan ini hanya masalah pelatihan. Bahwa pelanggan, karyawan, dan orang-orang di mana saja perlu dilatih dengan lebih baik. Mereka perlu berbuat lebih baik – akan selalu ada kebenarannya. Tetapi sebagai profesional keamanan dunia maya, itu tidak bisa menjadi alasan solusi yang kami raih setiap kali hal ini terjadi. Penelitian berulang kali menunjukkan bahwa semua orang pada akhirnya dapat dibodohi, tidak peduli seberapa waspada, terampil, dan siapnya mereka. Kita harus selalu bekerja dari asumsi bahwa hal buruk akan terjadi. Kami harus terus berinovasi untuk menumpulkan keefektifan serangan ini sambil juga berusaha untuk meningkatkan pengalaman pelanggan dan karyawan kami secara keseluruhan.
Bisakah Anda membagikan Taktik, Teknik, dan Prosedur (TTP)?
Kami yakin bisa. Mengingat luasnya cakupan perusahaan yang diincar oleh aktor ini, kami ingin semua orang mengetahui apa yang kami ketahui. Berikut adalah beberapa hal spesifik yang kami sarankan untuk Anda cari di log perusahaan/SIEM Anda:
Semua lalu lintas web dari aset teknologi Anda ke alamat berikut, dengan * mewakili nama perusahaan atau organisasi Anda:
sso-*.com
*-sso.com
masuk.*-sso.com
dasbor-*.com
*-dasbor.com
Setiap unduhan atau percobaan unduhan dari penampil desktop jarak jauh berikut:
AnyDesk (anydesk dotcom)
ISL Online (islonline dot com)
Upaya apa pun untuk mengakses organisasi Anda dari penyedia VPN pihak ketiga, khususnya Mullvad VPN.
Panggilan telepon / pesan teks masuk dari penyedia berikut:
Google Voice
skype
Vonage/Nexmo
Bandwidth dot-com”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Tentang Kami
- mengakses
- diakses
- Akun
- Akun
- tindakan
- kegiatan
- sebenarnya
- menambahkan
- alamat
- Setelah
- Waspada
- Semua
- selalu
- jumlah
- dan
- siapapun
- sekitar
- artikel
- Aktiva
- terkait
- anggapan
- menyerang
- Serangan
- berusaha
- Mencoba
- Otentikasi
- kembali
- Buruk
- karena
- menjadi
- mulai
- makhluk
- Percaya
- percaya
- percaya
- Lebih baik
- antara
- diblokir
- Blog
- pelanggaran
- luas
- bisnis
- bernama
- Panggilan
- Kampanye
- Kampanye
- kasus
- kasus
- Pasti
- tantangan
- keadaan
- diklaim
- coinbase
- Coinbase
- COM
- Komunikasi
- komunikasi
- masyarakat
- Perusahaan
- perusahaan
- Perusahaan
- kompromi
- Dikompromikan
- komputer
- Keamanan komputer
- DIKONFIRMASI
- terus-menerus
- kontak
- kontak
- kontrol
- kontrol
- Percakapan
- Timeline
- Surat kepercayaan
- kripto
- cryptocurrency
- Pertukaran Cryptocurrency
- Currency
- terbaru
- pelanggan
- data pelanggan
- pelanggan
- maya
- Serangan cyber
- PENJAHAT SIBER
- penjahat cyber
- Keamanan cyber
- data
- hari
- Hari
- Departemen
- dirancang
- Desktop
- Meskipun
- rincian
- berbeda
- sulit
- langsung
- langsung
- membahas
- DOT
- download
- Awal
- efektivitas
- upaya
- Karyawan
- karyawan
- Teknik
- Masuk
- Lingkungan Hidup
- lengkap
- Bahkan
- Acara
- akhirnya
- Setiap
- semua orang
- persis
- Pasar Valas
- pengalaman
- berpengalaman
- ahli
- terkena
- Favorit
- Februari
- beberapa
- Menemukan
- Perusahaan
- Pertama
- mengikuti
- berikut
- bentuk
- Untung
- penipu
- sering
- dari
- penuh
- dana-dana
- dana hilang
- Mendapatkan
- mendapatkan
- mendapatkan
- Memberikan
- diberikan
- hack
- hacker
- terjadi
- terjadi
- Kejadian
- Terjadi
- senang
- Sulit
- mendengar
- membantu
- di sini
- sangat
- Beranda
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- Kemanusiaan
- mengenali
- segera
- dampak
- penting
- memperbaiki
- in
- insiden
- respon insiden
- Termasuk
- makin
- Menunjukkan
- sendiri-sendiri
- informasi
- teknologi informasi
- mulanya
- berinovasi
- instruksi
- menarik
- intern
- investigasi
- isu
- masalah
- IT
- Tahu
- pendaratan
- halaman arahan
- besar
- Terakhir
- Tahun lalu
- Terlambat
- Terbaru
- diluncurkan
- berlapis
- terkemuka
- belajar
- Pelajaran
- Terbatas
- LINK
- link
- melihat
- mencari
- lepas
- Lot
- terbuat
- Mayoritas
- membuat
- pengelolaan
- banyak
- hal
- Media
- anggota
- pesan
- pesan
- pesan
- MFA
- menit
- mobil
- telepon genggam
- ponsel
- lebih
- paling
- multi-
- otentikasi multi-faktor
- nama
- nama
- hampir
- Perlu
- dibutuhkan
- New
- berikutnya
- jumlah
- nomor
- ONE
- secara online
- organisasi
- secara keseluruhan
- bagian
- pihak
- Kata Sandi
- pola
- Konsultan Ahli
- Phishing
- serangan phishing
- telepon
- panggilan telepon
- ponsel
- Tempat
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- diposting
- siap
- Masalah
- Prosedur
- profesional
- Keuntungan
- berkembang
- melindungi
- terlindung
- memberikan
- disediakan
- pemberi
- penyedia
- Cepat
- mencapai
- tercapai
- Baca
- siap
- mewujudkan
- alasan
- alasan
- menerima
- baru
- baru-baru ini
- diakui
- sarankan
- mengenai
- relatif
- sisa
- terpencil
- Remote Access
- ulang
- Dilaporkan
- merupakan
- permintaan
- wajib
- penelitian
- tanggapan
- tanggung jawab
- lebih aman
- Tersebut
- Scam
- cakupan
- aman
- keamanan
- mengirim
- peka
- beberapa
- Share
- saham
- Segera
- Pertunjukkan
- penting
- kesamaan
- Sederhana
- sejak
- terampil
- SMS
- So
- Sosial
- Rekayasa Sosial
- media sosial
- larutan
- beberapa
- sesuatu
- mutakhir
- berbicara
- tertentu
- Secara khusus
- Staf
- awal
- dimulai
- Pernyataan
- Tangga
- Masih
- mencuri
- dicuri
- berhenti
- Cerita
- seperti itu
- tergantung
- mencurigakan
- sistem
- sistem
- taktik
- pembicaraan
- ditargetkan
- penargetan
- target
- tim
- teknik
- Teknologi
- sepuluh
- Grafik
- Coinbase
- mereka
- diri
- hal
- Ketiga
- ancaman
- Melalui
- waktu
- untuk
- puncak
- lalu lintas
- terlatih
- Pelatihan
- Transparansi
- bawah
- memahami
- luar biasa
- penggunaan
- Berharga
- melalui
- Korban
- pemirsa
- VPN
- cara
- jaringan
- Lalu Lintas Web
- Situs Web
- Apa
- yang
- sementara
- akan
- dalam
- Kerja
- bekerja
- workstation
- dunia
- akan
- Salah
- tahun
- Anda
- diri
- zephyrnet.dll