Coinbase diventa l'ultima vittima di un attacco informatico in cui un attore di minacce non identificato ha compiuto sforzi significativi per violare i sistemi interni di una delle principali piattaforme di scambio di criptovalute al mondo attraverso un attacco di phishing.
In un blog pubblicato sul suo sito Web, Coinbase ha confermato che i dati della nostra directory aziendale sono stati esposti dopo che gli aggressori informatici sono riusciti a violare il suo sistema. In una dichiarazione Coinbase ha dichiarato:
“Coinbase ha recentemente subito un attacco alla sicurezza informatica che ha preso di mira uno dei suoi dipendenti. Fortunatamente, i controlli informatici di Coinbase hanno impedito all'attaccante di ottenere l'accesso diretto al sistema e hanno impedito qualsiasi perdita di fondi o compromissione delle informazioni sui clienti. È stata esposta solo una quantità limitata di dati dalla nostra directory aziendale".
Sebbene Coinbase abbia affermato che i fondi dei clienti, così come i dati dei clienti, sono sicuri, la società di sicurezza informatica Group-IB ha aggiunto che l'autore della minaccia ha rubato quasi 1,000 accessi aziendali inviando collegamenti di phishing tramite SMS ai dipendenti dell'azienda.
Il criminale informatico ha inizialmente preso di mira i dipendenti di Coinbase inviando cinque messaggi SMS di phishing esortandoli ad accedere urgentemente ai loro account aziendali e leggere un messaggio importante. I messaggi contenevano un collegamento che imitava la pagina di accesso aziendale di Coinbase, ma in realtà era una pagina di destinazione dannosa progettata per rubare dati sensibili.
Sebbene la maggior parte dei dipendenti non sia stata ingannata dal phishing, un dipendente è caduto nella truffa e ha fornito agli hacker le proprie credenziali di accesso. Tuttavia, l'account era protetto con l'autenticazione a più fattori (MFA), che limitava le azioni degli hacker. Tuttavia, non si sono arresi e hanno chiamato la vittima, fingendosi il reparto IT dell'azienda. Hanno incaricato la vittima di accedere alla workstation e di seguire diversi passaggi.
Coinbase ha riferito che il suo CSIRT (Computer Security Incident Response Team) ha impiegato circa dieci minuti per identificare l'attacco e contattare la vittima in merito all'attività sospetta. La vittima ha prontamente riconosciuto di essere stata truffata e ha interrotto la comunicazione con l'aggressore.
L'attuale campagna condivide somiglianze con le campagne di phishing Scatter Swine/0ktapus dell'anno scorso, che gli esperti informatici di Group-IB hanno rivelato hanno portato a quasi 1,000 accessi aziendali rubati tramite messaggi SMS di phishing. Nonostante ciò, il responsabile del recente attacco rimane sconosciuto.
Sotto, Coinbase ha spiegato come è avvenuto l'attentato.
“Tl;dr – Coinbase ha recentemente subito un attacco alla sicurezza informatica che ha preso di mira uno dei suoi dipendenti. Fortunatamente, i controlli informatici di Coinbase hanno impedito all'attaccante di ottenere l'accesso diretto al sistema e hanno impedito qualsiasi perdita di fondi o compromissione delle informazioni sui clienti. È stata esposta solo una quantità limitata di dati dalla nostra directory aziendale. Coinbase crede nella trasparenza e vogliamo che i nostri dipendenti, clienti e la comunità ascoltino i dettagli di questo attacco e condividano le tattiche, le tecniche e le procedure (TTP) utilizzate da questo avversario in modo che tutti possano proteggersi meglio.
I clienti e i dipendenti di Coinbase sono obiettivi frequenti dei truffatori. Il motivo è semplice: la valuta in qualsiasi forma, inclusa la crittografia, è esattamente ciò che cercano i criminali informatici. Non è difficile capire perché così tanti avversari siano costantemente alla ricerca di modi per ottenere un rapido profitto.
Affrontare un numero così elevato di avversari e sfide di sicurezza informatica è uno dei motivi per cui trovo che Coinbase sia un posto così interessante in cui lavorare. In questo articolo discuteremo di un vero attacco informatico e di un incidente informatico associato di cui ci siamo occupati di recente qui a Coinbase. Anche se sono molto felice di poter dire che in questo caso non sono stati influenzati i fondi o le informazioni dei clienti, ci sono ancora preziose lezioni da imparare. In Coinbase crediamo nella trasparenza. Parlando apertamente di problemi di sicurezza come questo, credo che renderemo l'intera comunità più sicura e più consapevole della sicurezza.
La nostra storia inizia nella tarda giornata di domenica 5 febbraio 2023. Diversi telefoni cellulari dei dipendenti iniziano ad avvisare con messaggi SMS che indicano che devono accedere con urgenza tramite il collegamento fornito per ricevere un messaggio importante. Sebbene la maggior parte ignori questo messaggio spontaneo, un dipendente, credendo che si tratti di un messaggio importante e legittimo, fa clic sul collegamento e inserisce nome utente e password. Dopo l'"accesso", al dipendente viene chiesto di ignorare il messaggio e ringraziato per aver rispettato.
Quello che è successo dopo è stato che l'attaccante, dotato di un nome utente e una password legittimi da dipendente di Coinbase, ha tentato ripetutamente di ottenere l'accesso remoto a Coinbase. Fortunatamente i nostri controlli informatici erano pronti. L'aggressore non è stato in grado di fornire le credenziali di autenticazione a più fattori (MFA) richieste e gli è stato impedito di ottenere l'accesso. In molti casi, quella sarebbe la fine della storia. Ma questo non era un attaccante qualsiasi. Riteniamo che questo individuo sia associato a una campagna di attacco altamente persistente e sofisticata che ha preso di mira decine di aziende dallo scorso anno.
Circa 20 minuti dopo squillò il cellulare del nostro dipendente. L'aggressore ha affermato di provenire dall'Information Technology (IT) aziendale di Coinbase e di aver bisogno dell'aiuto del dipendente. Credendo di parlare con un legittimo membro dello staff IT di Coinbase, il dipendente ha effettuato l'accesso alla propria postazione di lavoro e ha iniziato a seguire le istruzioni dell'aggressore. Ciò ha dato inizio a un avanti e indietro tra l'aggressore e un dipendente sempre più sospettoso. Man mano che la conversazione procedeva, le richieste diventavano sempre più sospette. Fortunatamente non sono stati prelevati fondi e non è stato possibile accedere o visualizzare informazioni sui clienti, ma sono state prelevate alcune informazioni di contatto limitate per i nostri dipendenti, in particolare i nomi dei dipendenti, gli indirizzi e-mail e alcuni numeri di telefono.
Fortunatamente, il nostro Computer Security Incident Response Team (CSIRT) ha risolto il problema entro i primi 10 minuti dall'attacco. Il nostro CSIRT è stato avvisato di attività insolite dal nostro sistema SIEM (Security Incident and Event Management). Poco dopo, uno dei nostri soccorritori ha contattato la vittima tramite il nostro sistema di messaggistica interno di Coinbase chiedendo informazioni su alcuni dei comportamenti insoliti e sui modelli di utilizzo associati al suo account. Rendendosi conto che qualcosa non andava, il dipendente ha interrotto tutte le comunicazioni con l'aggressore.
Il nostro team CSIRT ha immediatamente sospeso ogni accesso per il dipendente vittima e ha avviato un'indagine completa. Grazie al nostro ambiente di controllo a più livelli, non ci sono stati perdite di fondi e nessuna informazione sui clienti è stata compromessa. La pulizia è stata relativamente rapida, ma comunque ci sono molte lezioni da imparare qui.
Chiunque può essere ingegnerizzato socialmente
Gli esseri umani sono creature sociali. Vogliamo andare d'accordo. Vogliamo far parte della squadra. Se pensi di non poter essere ingannato da una campagna di ingegneria sociale ben eseguita, ti stai prendendo in giro. Nelle giuste circostanze quasi chiunque può essere una vittima.
L'attacco più difficile a cui resistere è un attacco di ingegneria sociale a contatto diretto, come quello subito dal nostro dipendente qui. È qui che l'aggressore ti contatta direttamente tramite i social media, il tuo telefono cellulare o, peggio ancora, si avvicina a casa tua o al luogo di lavoro. Questi attacchi non sono nuovi. In effetti, questo tipo di attacchi si sono verificati sin dai primi giorni dell'umanità. È una delle tattiche preferite dagli avversari di tutto il mondo, perché funziona.
Quindi cosa facciamo? Come possiamo impedire che ciò accada?
Vorrei dire che questo è solo un problema di allenamento. Che i clienti, i dipendenti e le persone di tutto il mondo devono essere formati meglio. Devono fare di meglio - ci sarà sempre del vero in questo. Ma come professionisti della sicurezza informatica, questa non può essere la scusa della soluzione a cui ci rivolgiamo ogni volta che ciò accade. La ricerca mostra ancora e ancora che tutte le persone possono essere ingannate alla fine, non importa quanto siano vigili, abili e preparati. Dobbiamo sempre lavorare partendo dal presupposto che accadranno cose brutte. Dobbiamo innovare costantemente per ridurre l'efficacia di questi attacchi, sforzandoci anche di migliorare l'esperienza complessiva dei nostri clienti e dipendenti.
Puoi condividere tattiche, tecniche e procedure (TTP)?
Di sicuro possiamo. Data l'ampia portata delle aziende prese di mira da questo attore, vogliamo che tutti sappiano ciò che sappiamo. Ecco alcune cose specifiche che ti consigliamo di cercare nei tuoi registri aziendali/SIEM:
Qualsiasi traffico web dalle tue risorse tecnologiche ai seguenti indirizzi, dove * rappresenta il nome della tua azienda o organizzazione:
sso-*.com
*-sso.com
login.*-sso.com
dashboard-*.com
*-dashboard.com
Eventuali download o tentativi di download dei seguenti visualizzatori desktop remoti:
AnyDesk (anydesk punto com)
ISL Online (islonline punto com)
Qualsiasi tentativo di accedere alla tua organizzazione da un provider VPN di terze parti, in particolare VPN Mullvad.
Telefonate/messaggi di testo in arrivo dai seguenti provider:
Google Voice
Skype
Vonage/Nexmo
Larghezza di banda punto com"
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Chi siamo
- accesso
- accessibile
- Il mio account
- conti
- azioni
- attività
- effettivamente
- aggiunto
- indirizzi
- Dopo shavasana, sedersi in silenzio; saluti;
- Mettere in guardia
- Tutti
- sempre
- quantità
- ed
- chiunque
- circa
- articolo
- Attività
- associato
- assunzione
- attacco
- attacchi
- tentato
- Tentativi
- Autenticazione
- precedente
- Vasca
- perché
- diventa
- ha iniziato
- essendo
- CREDIAMO
- crede
- credendo
- Meglio
- fra
- bloccato
- Blog
- violazione
- ampio
- affari
- detto
- Bandi
- Campagna
- Responsabile Campagne
- Custodie
- casi
- certamente
- sfide
- condizioni
- rivendicato
- coinbase
- Coinbase di
- COM
- Comunicazione
- Comunicazioni
- comunità
- Aziende
- azienda
- Società
- compromesso
- Compromissione
- computer
- Computer Security
- CONFERMATO
- costantemente
- contatti
- contatti
- di controllo
- controlli
- Conversazione
- Aziende
- Credenziali
- crypto
- criptovaluta
- Scambio di criptovaluta
- Valuta
- Corrente
- cliente
- dati dei clienti
- Clienti
- Cyber
- Attacco informatico
- CIBERCRIMINALE
- i criminali informatici
- Cybersecurity
- dati
- giorno
- Giorni
- Shirts Department
- progettato
- tavolo
- Nonostante
- dettagli
- diverso
- difficile
- dirette
- direttamente
- discutere
- DOT
- download
- Presto
- efficacia
- sforzi
- Dipendente
- dipendenti
- Ingegneria
- entra
- Ambiente
- attrezzato
- Anche
- Evento
- alla fine
- Ogni
- tutti
- di preciso
- exchange
- esperienza
- esperto
- esperti
- esposto
- preferito
- Febbraio
- pochi
- Trovare
- Impresa
- Nome
- seguire
- i seguenti
- modulo
- per fortuna
- truffatori
- frequente
- da
- pieno
- fondi
- fondi persi
- Guadagno
- guadagnando
- ottenere
- Dare
- dato
- hacked
- hacker
- accadere
- successo
- Happening
- accade
- contento
- Hard
- sentire
- Aiuto
- qui
- vivamente
- Casa
- Come
- Tuttavia
- HTTPS
- Umanità
- identificare
- subito
- impattato
- importante
- competenze
- in
- incidente
- risposta agli incidenti
- Compreso
- sempre più
- indicando
- individuale
- informazioni
- tecnologie dell'informazione
- inizialmente
- innovare
- istruzioni
- interessante
- interno
- indagine
- problema
- sicurezza
- IT
- Sapere
- atterraggio
- pagina di destinazione
- grandi
- Cognome
- L'anno scorso
- In ritardo
- con i più recenti
- lanciato
- stratificato
- principale
- imparato
- Lezioni
- Limitato
- LINK
- Collegamento
- Guarda
- cerca
- spento
- lotto
- fatto
- Maggioranza
- make
- gestione
- molti
- Importanza
- Media
- membro
- messaggio
- messaggi
- di messaggistica
- AMF
- verbale
- Mobile
- cellulare
- cellulari
- Scopri di più
- maggior parte
- Multi
- autenticazione a più fattori
- Nome
- nomi
- quasi
- Bisogno
- di applicazione
- New
- GENERAZIONE
- numero
- numeri
- ONE
- online
- organizzazione
- complessivo
- parte
- partito
- Password
- modelli
- Persone
- phishing
- attacco di phishing
- telefono
- telefonate
- telefoni
- posto
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- postato
- preparato
- Problema
- procedure
- Scelto dai professionisti
- Profitto
- progredito
- protegge
- protetta
- fornire
- purché
- fornitore
- fornitori
- Presto
- raggiungere
- a raggiunto
- Leggi
- pronto
- realizzando
- ragione
- motivi
- ricevere
- recente
- recentemente
- riconosciuto
- raccomandare
- per quanto riguarda
- relativamente
- resti
- a distanza
- accesso remoto
- ripetuto
- Segnalati
- rappresenta
- richieste
- necessario
- riparazioni
- risposta
- responsabile
- più sicuro
- Suddetto
- Truffa
- portata
- sicuro
- problemi di
- invio
- delicata
- alcuni
- Condividi
- azioni
- In breve
- Spettacoli
- significativa
- somiglianze
- Un'espansione
- da
- qualificato
- sms
- So
- Social
- Ingegneria sociale
- Social Media
- soluzione
- alcuni
- qualcosa
- sofisticato
- parlando
- specifico
- in particolare
- STAFF
- inizia a
- inizio
- dichiarazione
- Passi
- Ancora
- stola
- rubare
- Fermare
- Storia
- tale
- sospeso
- sospettoso
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- parlando
- mirata
- mira
- obiettivi
- team
- tecniche
- Tecnologia
- carnagione
- Il
- Il Coinbase
- loro
- si
- cose
- Terza
- minaccia
- Attraverso
- tempo
- a
- top
- traffico
- allenato
- Training
- Trasparenza
- per
- capire
- insolito
- Impiego
- Prezioso
- via
- Vittima
- spettatori
- VPN
- modi
- sito web
- Traffico Web
- Sito web
- Che
- quale
- while
- volere
- entro
- Lavora
- lavori
- stazione di lavoro
- Il mondo di
- sarebbe
- Wrong
- anno
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro