Coinbase wordt het laatste slachtoffer van een cyberaanval waarbij een niet-geïdentificeerde bedreigingsacteur aanzienlijke inspanningen heeft geleverd om de interne systemen van een van 's werelds toonaangevende cryptocurrency-uitwisselingsplatforms te doorbreken door middel van een phishing-aanval.
In een blog op zijn website bevestigde Coinbase dat gegevens uit onze bedrijfsdirectory openbaar waren gemaakt nadat cyberaanvallers erin waren geslaagd zijn systeem te doorbreken. In een verklaring zei Coinbase:
“Coinbase heeft onlangs een cyberbeveiligingsaanval meegemaakt die gericht was op een van zijn werknemers. Gelukkig voorkwamen de cybercontroles van Coinbase dat de aanvaller directe toegang tot het systeem kreeg en voorkwam het verlies van geld of het compromitteren van klantinformatie. Er is slechts een beperkte hoeveelheid gegevens uit onze bedrijfsdirectory vrijgegeven.”
Hoewel Coinbase zei dat klantgelden, evenals klantgegevens, veilig zijn, voegde cyberbeveiligingsbedrijf Group-IB eraan toe dat de bedreigingsactor bijna 1,000 zakelijke toegangslogins heeft gestolen door phishing-links via sms naar bedrijfsmedewerkers te sturen.
De cybercrimineel richtte zich in eerste instantie op Coinbase-medewerkers door vijf phishing-sms-berichten te sturen waarin ze werden aangespoord om dringend in te loggen op hun bedrijfsaccounts en een belangrijk bericht te lezen. De berichten bevatten een link die de inlogpagina van Coinbase nabootste, maar het was eigenlijk een kwaadaardige bestemmingspagina die was ontworpen om gevoelige gegevens te stelen.
Hoewel de meeste medewerkers zich niet lieten misleiden door de phishing, viel één medewerker voor de zwendel en gaf de hackers hun inloggegevens. Het account was echter beveiligd met multi-factor authenticatie (MFA), waardoor de acties van de hackers werden beperkt. Ze gaven echter niet op en belden het slachtoffer, alsof ze de IT-afdeling van het bedrijf waren. Ze instrueerden het slachtoffer om in te loggen op het werkstation en verschillende stappen te volgen.
Coinbase meldde dat het zijn CSIRT (Computer Security Incident Response Team) ongeveer tien minuten nodig had om de aanval te identificeren en contact op te nemen met het slachtoffer over de verdachte activiteit. Het slachtoffer herkende onmiddellijk dat ze werden opgelicht en beëindigde de communicatie met de aanvaller.
De huidige campagne heeft overeenkomsten met de Scatter Swine/0ktapus phishing-campagnes van vorig jaar, die volgens cyberexperts van Group-IB resulteerden in bijna 1,000 gestolen logins voor bedrijfstoegang via phishing-sms-berichten. Desondanks blijft de verantwoordelijke partij voor de recente aanval onbekend.
Hieronder, Coinbase uitgelegd hoe de aanval gebeurde.
“Tl;dr – Coinbase heeft onlangs een cyberbeveiligingsaanval meegemaakt die gericht was op een van zijn werknemers. Gelukkig voorkwamen de cybercontroles van Coinbase dat de aanvaller directe toegang tot het systeem kreeg en voorkwam het verlies van geld of het compromitteren van klantinformatie. Slechts een beperkte hoeveelheid gegevens uit onze bedrijfsdirectory is openbaar gemaakt. Coinbase gelooft in transparantie en we willen dat onze werknemers, klanten en de gemeenschap de details van deze aanval horen en de tactieken, technieken en procedures (TTP's) die door deze tegenstander worden gebruikt, delen, zodat iedereen zichzelf beter kan beschermen.
Coinbase-klanten en -medewerkers zijn frequente doelwitten van fraudeurs. De reden is eenvoudig: valuta in welke vorm dan ook, inclusief crypto, is precies waar cybercriminelen op uit zijn. Het is niet moeilijk te begrijpen waarom zoveel tegenstanders constant op zoek zijn naar manieren om snel winst te maken.
Omgaan met zo'n groot aantal tegenstanders en uitdagingen op het gebied van cyberbeveiliging is een van de redenen waarom ik Coinbase zo'n interessante plek vind om te werken. In dit artikel bespreken we een daadwerkelijke cyberaanval en het bijbehorende cyberincident dat we onlangs hier bij Coinbase hebben behandeld. Hoewel ik heel blij ben te kunnen zeggen dat er in dit geval geen geld van klanten of klantgegevens zijn geraakt, zijn er nog steeds waardevolle lessen te leren. Bij Coinbase geloven we in transparantie. Door openlijk over dit soort veiligheidskwesties te praten, denk ik dat we de hele gemeenschap veiliger en veiligheidsbewuster maken.
Ons verhaal begint laat op de dag op zondag 5 februari 2023. Verschillende mobiele telefoons van medewerkers beginnen te alarmeren met sms-berichten die aangeven dat ze dringend moeten inloggen via de verstrekte link om een belangrijk bericht te ontvangen. Terwijl de meerderheid dit ongevraagde bericht negeert, klikt een medewerker, die denkt dat het een belangrijk en legitiem bericht is, op de link en voert zijn gebruikersnaam en wachtwoord in. Na “inloggen” wordt de medewerker gevraagd het bericht te negeren en bedankt voor het naleven.
Wat er daarna gebeurde, was dat de aanvaller, uitgerust met een legitieme gebruikersnaam en wachtwoord van een Coinbase-medewerker, herhaaldelijk probeerde om op afstand toegang te krijgen tot Coinbase. Gelukkig waren onze cybercontroles klaar. De aanvaller kon de vereiste Multi Factor Authentication (MFA)-referenties niet verstrekken en kreeg geen toegang. Dat zou in veel gevallen het einde van het verhaal zijn. Maar dit was niet zomaar een aanvaller. We denken dat deze persoon wordt geassocieerd met een zeer hardnekkige en geavanceerde aanvalscampagne die zich sinds vorig jaar op tal van bedrijven heeft gericht.
Ongeveer 20 minuten later ging de mobiele telefoon van onze medewerker. De aanvaller beweerde van Coinbase corporate Information Technology (IT) te zijn en had de hulp van de medewerker nodig. In de overtuiging dat ze met een legitiem IT-personeelslid van Coinbase spraken, logde de medewerker in op zijn werkstation en begon hij de instructies van de aanvaller op te volgen. Dat begon heen en weer tussen de aanvaller en een steeds achterdochtiger wordende medewerker. Naarmate het gesprek vorderde, werden de verzoeken steeds verdachter. Gelukkig werd er geen geld afgeschreven en werd er geen klantinformatie ingezien of bekeken, maar wel beperkte contactgegevens van onze medewerkers, met name namen van medewerkers, e-mailadressen en enkele telefoonnummers.
Gelukkig was ons Computer Security Incident Response Team (CSIRT) binnen de eerste 10 minuten na de aanval de baas over dit probleem. Ons CSIRT werd gewaarschuwd voor ongebruikelijke activiteit door ons Security Incident and Event Management (SIEM)-systeem. Kort daarna nam een van onze incidenthulpverleners contact op met het slachtoffer via ons interne Coinbase-berichtensysteem om te informeren naar enkele ongebruikelijke gedragingen en gebruikspatronen die verband houden met hun account. Toen hij besefte dat er iets ernstig mis was, beëindigde de medewerker alle communicatie met de aanvaller.
Ons CSIRT-team schortte onmiddellijk alle toegang voor de slachtoffermedewerker op en startte een volledig onderzoek. Door onze gelaagde controleomgeving zijn er geen fondsen verloren gegaan en is er geen klantinformatie gecompromitteerd. Het opruimen ging relatief snel, maar toch – er zijn hier veel lessen te leren.
Iedereen kan sociaal gemanipuleerd zijn
Mensen zijn sociale wezens. We willen met elkaar opschieten. Wij willen deel uitmaken van het team. Als je denkt dat je niet voor de gek kunt worden gehouden door een goed uitgevoerde social engineering-campagne, dan hou je jezelf voor de gek. Onder de juiste omstandigheden kan bijna iedereen slachtoffer zijn.
De moeilijkste aanval om weerstand te bieden is een social engineering-aanval met direct contact, zoals die van onze medewerker hier. Dit is waar de aanvaller rechtstreeks contact met u opneemt via sociale media, uw mobiele telefoon, of erger nog, naar uw huis of bedrijf loopt. Deze aanvallen zijn niet nieuw. In feite vinden dit soort aanvallen al sinds de vroege dagen van de mensheid plaats. Het is overal een favoriete tactiek van tegenstanders – omdat het werkt.
Dus wat doen we? Hoe voorkomen we dat dit gebeurt?
Ik zou willen zeggen dat dit slechts een trainingsprobleem is. Dat klanten, medewerkers en mensen overal beter opgeleid moeten worden. Ze moeten het beter doen - daar zal altijd een kern van waarheid in zitten. Maar als cyberbeveiligingsprofessionals kan dat niet het excuus zijn dat we zoeken voor elke keer dat dit gebeurt. Onderzoek toont keer op keer aan dat alle mensen uiteindelijk voor de gek kunnen worden gehouden, hoe alert, bekwaam en voorbereid ze ook zijn. We moeten altijd uitgaan van de veronderstelling dat er slechte dingen zullen gebeuren. We moeten voortdurend innoveren om de effectiviteit van deze aanvallen af te zwakken, terwijl we er ook naar streven om de algehele ervaring van onze klanten en medewerkers te verbeteren.
Kun je tactieken, technieken en procedures (TTP's) delen?
Dat kunnen we zeker. Gezien de brede reikwijdte van bedrijven die het doelwit zijn van deze actor, willen we dat iedereen weet wat we weten. Hier zijn een paar specifieke dingen die we u aanraden te zoeken in uw bedrijfslogboeken / SIEM:
Al het webverkeer van uw technologiemiddelen naar de volgende adressen, waarbij * staat voor de naam van uw bedrijf of organisatie:
sso-*.com
*-sso.com
inloggen.*-sso.com
dashboard-*.com
*-dashboard.com
Alle downloads of downloadpogingen van de volgende remote desktop-viewers:
AnyDesk (anydesk dotcom)
ISL Online (isonline dot com)
Alle pogingen om toegang te krijgen tot uw organisatie via een externe VPN-provider, met name Mullvad VPN.
Inkomende telefoongesprekken/sms'jes van de volgende providers:
Google Voice
Skype
Vonage/Nexmo
Bandbreedte dot com”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Over
- toegang
- geraadpleegde
- Account
- accounts
- acties
- activiteit
- werkelijk
- toegevoegd
- adressen
- Na
- Alarm
- Alles
- altijd
- bedragen
- en
- iedereen
- ongeveer
- dit artikel
- Activa
- geassocieerd
- aanname
- aanvallen
- Aanvallen
- gepoogd
- pogingen
- authenticatie
- terug
- slecht
- omdat
- wordt
- begon
- wezen
- geloofd wie en wat je bent
- gelooft
- geloven
- Betere
- tussen
- geblokkeerd
- Blog
- overtreding
- breed
- bedrijfsdeskundigen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- Campagne
- Campagnes
- geval
- gevallen
- zeker
- uitdagingen
- situatie
- beweerde
- coinbase
- Coinbase's
- COM
- Communicatie
- Communicatie
- gemeenschap
- Bedrijven
- afstand
- Bedrijf
- compromis
- Aangetast
- computer
- Computer beveiliging
- BEVESTIGD
- permanent
- contact
- contacten
- onder controle te houden
- controles
- Gesprek
- Bedrijfs-
- Geloofsbrieven
- crypto
- cryptogeld
- Cryptocurrency Exchange
- Valuta
- Actueel
- klant
- klantgegevens
- Klanten
- cyber
- Cyber aanval
- CYBERCRIMINEEL
- cybercriminelen
- Cybersecurity
- gegevens
- dag
- dagen
- afdeling
- ontworpen
- desktop
- Niettegenstaande
- gegevens
- anders
- moeilijk
- directe
- direct
- bespreken
- DOT
- downloads
- Vroeg
- effectiviteit
- inspanningen
- Werknemer
- medewerkers
- Engineering
- Komt binnen
- Milieu
- uitgerust
- Zelfs
- Event
- uiteindelijk
- Alle
- iedereen
- precies
- uitwisseling
- ervaring
- ervaren
- deskundigen
- blootgestelde
- Favoriet
- Februari
- weinig
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Stevig
- Voornaam*
- volgen
- volgend
- formulier
- Gelukkig
- fraudeurs
- veelvuldig
- oppompen van
- vol
- fondsen
- geld verloren
- Krijgen
- met het verkrijgen van
- krijgen
- Geven
- gegeven
- gehackt
- Hackers
- gebeuren
- gebeurd
- Happening
- gebeurt
- gelukkig
- Hard
- horen
- hulp
- hier
- zeer
- Home
- Hoe
- Echter
- HTTPS
- Mensheid
- identificeren
- per direct
- beïnvloed
- belangrijk
- verbeteren
- in
- incident
- incident reactie
- Inclusief
- in toenemende mate
- wat aangeeft
- individueel
- informatie
- informatietechnologie
- eerste
- innoveren
- instructies
- interessant
- intern
- onderzoek
- kwestie
- problemen
- IT
- blijven
- landing
- landing page
- Groot
- Achternaam*
- Afgelopen jaar
- Laat
- laatste
- gelanceerd
- gelaagde
- leidend
- geleerd
- Lessen
- Beperkt
- LINK
- links
- Kijk
- op zoek
- uit
- lot
- gemaakt
- Meerderheid
- maken
- management
- veel
- Materie
- Media
- lid
- Bericht
- berichten
- messaging
- MFA
- minuten
- Mobile
- mobiele telefoon
- mobieltjes
- meer
- meest
- multi-
- multi-factor authenticatie
- naam
- namen
- bijna
- Noodzaak
- nodig
- New
- volgende
- aantal
- nummers
- EEN
- online.
- organisatie
- totaal
- deel
- feest
- Wachtwoord
- patronen
- Mensen
- Phishing
- phishing-aanval
- phone
- telefoongesprekken
- telefoons
- plaats
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- geplaatst
- bereid
- probleem
- procedures
- professionals
- Profit
- vorderde
- beschermen
- beschermd
- zorgen voor
- mits
- leverancier
- providers
- Quick
- bereiken
- bereikt
- Lees
- klaar
- realiseren
- reden
- redenen
- ontvangen
- recent
- onlangs
- erkend
- adviseren
- met betrekking tot
- relatief
- stoffelijk overschot
- vanop
- remote access
- herhaald
- gemeld
- vertegenwoordigt
- verzoeken
- nodig
- onderzoek
- antwoord
- verantwoordelijk
- veiliger
- Zei
- Oplichterij
- omvang
- beveiligen
- veiligheid
- verzending
- gevoelig
- verscheidene
- Delen
- Aandelen
- binnenkort
- Shows
- aanzienlijke
- overeenkomsten
- Eenvoudig
- sinds
- geschoold
- SMS
- So
- Social
- Social engineering
- social media
- oplossing
- sommige
- iets
- geraffineerd
- spreken
- specifiek
- specifiek
- Medewerkers
- begin
- starts
- Statement
- Stappen
- Still
- stola
- gestolen
- stop
- Verhaal
- dergelijk
- opgeschort
- verdacht
- system
- Systems
- tactiek
- praat
- doelgerichte
- targeting
- doelen
- team
- technieken
- Technologie
- tien
- De
- De Coinbase
- hun
- zich
- spullen
- Derde
- bedreiging
- Door
- niet de tijd of
- naar
- top
- verkeer
- getraind
- Trainingen
- Transparantie
- voor
- begrijpen
- ongebruikelijk
- Gebruik
- waardevol
- via
- Slachtoffer
- kijkers
- VPN
- manieren
- web
- Verkeer van het web
- Website
- Wat
- welke
- en
- wil
- binnen
- Mijn werk
- Bedrijven
- werkstation
- s werelds
- zou
- Verkeerd
- jaar
- Your
- jezelf
- zephyrnet