Coinbase は、正体不明の脅威アクターがフィッシング攻撃を通じて世界有数の暗号通貨交換プラットフォームの XNUMX つの内部システムを侵害するために多大な努力を行ったサイバー攻撃の最新の犠牲者になりました。
Coinbase は、その Web サイトに投稿されたブログで、サイバー攻撃者がシステムへの侵入に成功した後、当社の企業ディレクトリからのデータが公開されたことを確認しました。 声明の中で、Coinbase は次のように述べています。
「Coinbase は最近、従業員の XNUMX 人を標的としたサイバーセキュリティ攻撃を受けました。 幸いなことに、Coinbase のサイバー制御により、攻撃者はシステムに直接アクセスできず、資金の損失や顧客情報の侵害を防ぐことができました。 社内ディレクトリからの限られた量のデータのみが公開されました。」
Coinbase は、顧客の資金と顧客データは安全であると述べましたが、サイバーセキュリティ会社 Group-IB は、脅威アクターが SMS を介してフィッシング リンクを会社の従業員に送信することで、約 1,000 の企業アクセス ログインを盗んだと付け加えました。
サイバー犯罪者は当初、Coinbase の従業員を標的にして、会社のアカウントに緊急にログインして重要なメッセージを読むよう促す XNUMX つのフィッシング SMS メッセージを送信しました。 メッセージには、Coinbase の企業ログイン ページを模倣したリンクが含まれていましたが、実際には機密データを盗むように設計された悪意のあるランディング ページでした。
ほとんどの従業員はフィッシングにだまされませんでしたが、XNUMX 人の従業員が詐欺に引っ掛かり、ハッカーにログイン資格情報を提供しました。 ただし、アカウントは多要素認証 (MFA) で保護されていたため、ハッカーの行動は制限されていました。 それでも、彼らはあきらめず、会社の IT 部門を装って被害者に電話をかけました。 彼らは被害者に、ワークステーションにログインして別の手順に従うように指示しました。
Coinbase は、CSIRT (Computer Security Incident Response Team) が攻撃を特定し、疑わしい活動について被害者に連絡するのに約 XNUMX 分かかったと報告しました。 被害者は、だまされていることをすぐに認識し、攻撃者との通信を終了しました。
現在のキャンペーンは、昨年の Scatter Swine/0ktapus フィッシング キャンペーンと類似点があります。このキャンペーンでは、Group-IB のサイバー専門家が、フィッシング SMS メッセージを通じて約 1,000 件の企業アクセス ログインが盗まれたことを明らかにしました。 それにもかかわらず、最近の攻撃の責任者は不明のままです。
以下、コインベース 説明 攻撃がどのように行われたか。
「Tl;dr – Coinbase は最近、従業員の XNUMX 人を標的としたサイバーセキュリティ攻撃を受けました。 幸いなことに、Coinbase のサイバー制御により、攻撃者はシステムに直接アクセスできず、資金の損失や顧客情報の侵害を防ぐことができました。 社内ディレクトリからの限られた量のデータのみが公開されました。 Coinbase は透明性を重視しており、従業員、顧客、およびコミュニティがこの攻撃の詳細を聞き、この攻撃者が使用する戦術、技術、および手順 (TTP) を共有して、誰もが自分自身をより適切に保護できるようにしたいと考えています。
Coinbase の顧客と従業員は、詐欺師の標的になることがよくあります。 理由は簡単です。仮想通貨を含むあらゆる形態の通貨は、まさにサイバー犯罪者が狙っているものです。 非常に多くの攻撃者が手っ取り早く利益を得る方法を常に探している理由を理解するのは難しくありません。
このように多数の攻撃者やサイバーセキュリティの課題に対処することは、Coinbase が興味深い職場であると私が考える理由の XNUMX つです。 この記事では、Coinbase で最近扱った実際のサイバー攻撃と関連するサイバー インシデントについて説明します。 今回の件で顧客の資金や顧客情報に影響がなかったことは非常に喜ばしいことですが、まだ学ぶべき貴重な教訓があります。 Coinbase では、透明性を信じています。 このようにセキュリティの問題について率直に話すことで、コミュニティ全体がより安全になり、セキュリティへの意識が高まると信じています。
私たちの話は、5 年 2023 月 XNUMX 日日曜日の深夜に始まります。いくつかの従業員の携帯電話が、重要なメッセージを受信するには提供されたリンクから緊急にログインする必要があることを示す SMS メッセージで警告を発し始めます。 大多数がこのプロンプトなしのメッセージを無視しますが、XNUMX 人の従業員は、これが重要で正当なメッセージであると信じて、リンクをクリックし、ユーザー名とパスワードを入力します。 「ログイン」後、従業員はメッセージを無視するように求められ、従うことに感謝します。
次に起こったことは、Coinbase の正当な従業員のユーザー名とパスワードを備えた攻撃者が、Coinbase へのリモート アクセスを取得しようと繰り返し試みたことです。 幸いなことに、サイバー制御の準備は整っていました。 攻撃者は、必要な多要素認証 (MFA) 資格情報を提供できず、アクセスをブロックされました。 多くの場合、それで話は終わりです。 しかし、これはただの攻撃者ではありませんでした。 この個人は、昨年から多数の企業を標的とした、非常に持続的で高度な攻撃キャンペーンに関与していると考えられます。
約 20 分後、従業員の携帯電話が鳴りました。 攻撃者は、Coinbase の企業情報技術 (IT) の出身であると主張し、従業員の助けが必要でした。 正規の Coinbase IT スタッフ メンバーと話していると信じて、従業員は自分のワークステーションにログインし、攻撃者の指示に従い始めました。 これにより、攻撃者とますます疑わしい従業員との間でやり取りが始まりました。 会話が進むにつれて、要求はますます疑わしくなりました。 幸いなことに、資金は盗まれず、顧客情報へのアクセスや閲覧もありませんでしたが、従業員の限定的な連絡先情報、特に従業員の名前、電子メール アドレス、一部の電話番号が盗まれました。
幸いなことに、当社のコンピュータ セキュリティ インシデント対応チーム (CSIRT) は、攻撃の最初の 10 分以内にこの問題を把握しました。 私たちの CSIRT は、セキュリティ インシデントおよびイベント管理 (SIEM) システムによって異常な活動を警告されました。 その後まもなく、インシデント対応担当者の XNUMX 人が内部の Coinbase メッセージング システムを介して被害者に連絡し、アカウントに関連する異常な動作と使用パターンのいくつかについて尋ねました。 何か重大な問題があることに気付いた従業員は、攻撃者とのすべての通信を終了しました。
当社の CSIRT チームは、被害を受けた従業員のすべてのアクセスを直ちに停止し、完全な調査を開始しました。 階層化された管理環境により、資金が失われることはなく、顧客情報が危険にさらされることもありませんでした。 クリーンアップは比較的迅速でしたが、それでも、ここで学ぶべき教訓がたくさんあります。
ソーシャル エンジニアリングは誰にでもできる
人間は社会的な生き物です。 仲良くしたい。 私たちはチームの一員になりたいです。 巧妙に実行されたソーシャル エンジニアリング キャンペーンにだまされないと思うなら、それは冗談です。 適切な状況下では、ほとんどの人が被害者になる可能性があります。
抵抗するのが最も困難な攻撃は、直接接触するソーシャル エンジニアリング攻撃です。 これは、攻撃者がソーシャル メディアや携帯電話を介して直接あなたに連絡する場所であり、さらに悪いことに、あなたの家や職場まで歩いてきます。 これらの攻撃は新しいものではありません。 実際、この種の攻撃は人類の初期の頃から確実に行われてきました。 これは、機能するため、世界中の攻撃者に好まれる戦術です。
どうしようか? これが起こらないようにするにはどうすればよいでしょうか。
これは単なるトレーニングの問題だと言いたいです。 顧客、従業員、およびあらゆる場所の人々がより適切にトレーニングを受ける必要があること。 彼らはより良くする必要があります - それには常にいくつかの真実があります. しかし、サイバーセキュリティの専門家として、これが発生するたびに解決策を言い訳にすることはできません. 調査によると、どんなに警戒心が強く、熟練していて、準備ができていても、最終的にはすべての人がだまされる可能性があることが何度も示されています。 私たちは常に、悪いことが起こるという前提で仕事をしなければなりません。 これらの攻撃の有効性を弱めるために、常に革新を続けると同時に、顧客と従業員の全体的なエクスペリエンスを向上させるよう努める必要があります。
戦術、技術、手順 (TTP) を共有できますか?
きっとできます。 このアクターの標的となっている企業は多岐にわたるため、私たちが知っていることをすべての人に知ってもらいたいと考えています。 企業ログ/SIEMで探すことをお勧めする特定の事項を次に示します。
テクノロジー資産から次のアドレスへのすべての Web トラフィック。* は会社名または組織名を表します。
sso-*.com
*-sso.com
ログイン.*-sso.com
ダッシュボード-*.com
*-dashboard.com
次のリモート デスクトップ ビューアのダウンロードまたはダウンロードの試み:
AnyDesk(エニーデスクドットコム)
ISLオンライン(islonlineドットコム)
サード パーティの VPN プロバイダー、特に Mullvad VPN から組織にアクセスしようとする試み。
次のプロバイダーからの電話/テキスト メッセージの着信:
Googleの音声
Skype
ボナージュ/ネクスモ
帯域幅ドットコム」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- 私たちについて
- アクセス
- アクセス
- アカウント
- 行動
- アクティビティ
- 実際に
- 追加されました
- アドレス
- 後
- 警告
- すべて
- 常に
- 量
- および
- 誰も
- 約
- 記事
- 資産
- 関連する
- 仮定
- 攻撃
- 攻撃
- 試みた
- 試み
- 認証
- バック
- 悪い
- なぜなら
- になる
- 始まった
- さ
- 信じる
- と考えています
- 信じる
- より良いです
- の間に
- ブロックされた
- ブログ
- 違反
- 広い
- ビジネス
- 呼ばれます
- コール
- キャンペーン
- キャンペーン
- 場合
- 例
- 確かに
- 課題
- 状況
- 主張した
- coinbase
- コインベース
- COM
- コミュニケーション
- 通信部
- コミュニティ
- 企業
- 会社
- 会社の
- 妥協
- 損害を受けた
- コンピュータ
- コンピュータセキュリティ
- 確認済み
- 絶えず
- 接触
- コンタクト
- コントロール
- controls
- 会話
- 企業
- Credentials
- クリプト
- cryptocurrency
- 暗号化交換
- 通貨
- 電流プローブ
- 顧客
- 顧客データ
- Customers
- サイバー
- サイバー攻撃
- サイバー犯罪者
- サイバー犯罪者
- サイバーセキュリティ
- データ
- 中
- 日
- 部門
- 設計
- デスクトップ
- にもかかわらず
- 細部
- 異なります
- 難しい
- 直接
- 直接に
- 話し合います
- DOT
- ダウンロード
- メール
- 早い
- 有効
- 努力
- 従業員
- 社員
- エンジニアリング
- 入ります
- 環境
- 装備
- さらに
- イベント
- 最終的に
- あらゆる
- 誰も
- 正確に
- 交換
- 体験
- 経験豊かな
- 専門家
- 露出した
- お気に入り
- 2月
- 少数の
- もう完成させ、ワークスペースに掲示しましたか?
- 会社
- 名
- フォロー中
- フォーム
- 幸いにも
- 詐欺師
- 頻繁な
- から
- フル
- 資金
- 失われた資金
- 利得
- 獲得
- 取得する
- 与える
- 与えられた
- SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。
- ハッカー
- 起こる
- が起こった
- 出来事
- 起こります
- ハッピー
- ハード
- 聞く
- 助けます
- こちら
- 非常に
- ホーム
- 認定条件
- しかしながら
- HTTPS
- 人類
- 識別する
- 直ちに
- 影響を受けた
- 重要
- 改善します
- in
- 事件
- インシデント対応
- 含めて
- ますます
- 示します
- 個人
- 情報
- 情報技術
- 当初
- 革新的
- 説明書
- 興味深い
- 内部
- 調査
- 問題
- 問題
- IT
- 知っている
- 着陸
- ランディングページ
- 大
- 姓
- 昨年
- 遅く
- 最新の
- 打ち上げ
- 階層化
- 主要な
- 学んだ
- レッスン
- 限定的
- LINK
- リンク
- 見て
- 探して
- 損失
- たくさん
- 製
- 大多数
- make
- 管理
- 多くの
- 問題
- メディア
- メンバー
- メッセージ
- メッセージ
- メッセージング
- MFA
- 分
- モバイル
- 携帯電話
- 携帯電話
- 他には?
- 最も
- マルチ
- マルチファクタ認証
- 名
- 名
- ほぼ
- 必要
- 必要とされる
- 新作
- 次の
- 数
- 番号
- ONE
- オンライン
- 組織
- 全体
- 部
- パーティー
- パスワード
- パターン
- のワークプ
- フィッシング詐欺
- フィッシング攻撃
- 電話
- 電話
- 携帯電話
- 場所
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 掲示
- 準備
- 問題
- 手続き
- 専門家
- 利益
- 進行した
- 守る
- 保護された
- 提供します
- 提供
- プロバイダー
- プロバイダ
- クイック
- リーチ
- 達した
- 読む
- 準備
- 実現
- 理由
- 理由は
- 受け取ります
- 最近
- 最近
- 認識
- 推奨する
- に対する
- 相対的に
- 残っている
- リモート
- リモートアクセス
- 繰り返される
- 報告
- 表し
- リクエスト
- の提出が必要です
- 研究
- 応答
- 責任
- より安全な
- 前記
- 詐欺
- スコープ
- 安全に
- セキュリティ
- 送信
- 敏感な
- いくつかの
- シェアする
- 株式
- まもなく
- 作品
- 重要
- 類似
- 簡単な拡張で
- から
- 熟練した
- SMS
- So
- 社会
- ソーシャルエンジニアリング
- ソーシャルメディア
- 溶液
- 一部
- 何か
- 洗練された
- 話す
- 特定の
- 特に
- スタッフ
- start
- 開始
- ステートメント
- ステップ
- まだ
- ストール
- 盗まれました
- Force Stop
- ストーリー
- そのような
- サスペンド
- 疑わしい
- システム
- 戦術
- 会話
- 対象となります
- ターゲット
- ターゲット
- チーム
- テクニック
- テクノロジー
- 10
- Coinbase
- アプリ環境に合わせて
- 自分自身
- 物事
- 三番
- 脅威
- 介して
- 時間
- 〜へ
- top
- トラフィック
- 訓練された
- トレーニング
- 透明性
- 下
- わかる
- 珍しいです
- 使用法
- 貴重な
- 、
- 被害者
- 視聴者
- VPN
- 方法
- ウェブ
- Webトラフィック
- ウェブサイト
- この試験は
- which
- while
- 意志
- 以内
- 仕事
- 作品
- 世界の
- でしょう
- 間違った
- 年
- あなたの
- あなた自身
- ゼファーネット