Coinbase blir det siste offeret for et cyberangrep der en uidentifisert trusselaktør gjorde betydelige anstrengelser for å bryte de interne systemene til en av verdens ledende kryptovalutautvekslingsplattformer gjennom et phishing-angrep.
I en blogg lagt ut på nettsiden bekreftet Coinbase at data fra bedriftskatalogen vår ble avslørt etter at cyberangripere lyktes i å bryte systemet. I en uttalelse sa Coinbase:
«Coinbase opplevde nylig et cybersikkerhetsangrep som var rettet mot en av de ansatte. Heldigvis forhindret Coinbase sine cyberkontroller angriperen fra å få direkte systemtilgang og forhindret tap av midler eller kompromittering av kundeinformasjon. Bare en begrenset mengde data fra bedriftskatalogen vår ble avslørt.»
Selv om Coinbase sa at kundemidler, så vel som kundedata, er sikre, la nettsikkerhetsfirmaet Group-IB til at trusselaktøren stjal nesten 1,000 bedriftstilgangspålogginger ved å sende phishing-lenker over SMS til selskapets ansatte.
Nettkriminelle målrettet først Coinbase-ansatte ved å sende fem phishing-SMS-meldinger som oppfordret dem til å raskt logge inn på firmakontoene sine og lese en viktig melding. Meldingene inneholdt en lenke som etterlignet Coinbase-bedriftspåloggingssiden, men det var faktisk en ondsinnet landingsside designet for å stjele sensitive data.
Mens de fleste ansatte ikke ble lurt av phishing, falt en ansatt for svindelen og ga hackerne deres påloggingsinformasjon. Kontoen ble imidlertid beskyttet med multifaktorautentisering (MFA), som begrenset hackernes handlinger. Likevel ga de ikke opp og ringte offeret og utga seg for å være selskapets IT-avdeling. De instruerte offeret om å logge på arbeidsstasjonen og følge ulike trinn.
Coinbase rapporterte at det tok CSIRT (Computer Security Incident Response Team) omtrent ti minutter å identifisere angrepet og kontakte offeret angående den mistenkelige aktiviteten. Offeret erkjente umiddelbart at de ble svindlet og avsluttet kommunikasjonen med angriperen.
Den nåværende kampanjen deler likheter med fjorårets Scatter Swine/0ktapus phishing-kampanjer, som cybereksperter fra Group-IB avslørte resulterte i nesten 1,000 stjålne bedriftstilgangspålogginger gjennom phishing-SMS-meldinger. Til tross for dette er den ansvarlige parten for det nylige angrepet ukjent.
Nedenfor, Coinbase forklarte hvordan angrepet skjedde.
“Tl;dr – Coinbase opplevde nylig et nettsikkerhetsangrep som var rettet mot en av de ansatte. Heldigvis forhindret Coinbase sine cyberkontroller angriperen fra å få direkte systemtilgang og forhindret tap av midler eller kompromittering av kundeinformasjon. Bare en begrenset mengde data fra bedriftskatalogen vår ble eksponert. Coinbase tror på åpenhet, og vi vil at våre ansatte, kunder og samfunnet skal høre detaljene om dette angrepet og dele taktikken, teknikkene og prosedyrene (TTP) som brukes av denne motstanderen, slik at alle bedre kan beskytte seg selv.
Coinbase-kunder og ansatte er hyppige mål for svindlere. Årsaken er enkel – valuta i enhver form, inkludert krypto, er akkurat det nettkriminelle er ute etter. Det er ikke vanskelig å forstå hvorfor så mange motstandere hele tiden leter etter måter å tjene raskt på.
Å håndtere et så stort antall motstandere og cybersikkerhetsutfordringer er en av grunnene til at jeg synes Coinbase er et så interessant sted å jobbe. I denne artikkelen vil vi diskutere et faktisk cyberangrep og tilhørende cyberhendelse vi nylig behandlet her på Coinbase. Selv om jeg er veldig glad for å si at i dette tilfellet ble ingen kundemidler eller kundeinformasjon påvirket, men det er fortsatt verdifull lærdom å lære. Hos Coinbase tror vi på åpenhet. Ved å snakke åpent om sikkerhetsspørsmål som dette tror jeg at vi gjør hele samfunnet tryggere og mer sikkerhetsbevisst.
Historien vår starter sent på dagen søndag 5. februar 2023. Flere ansattes mobiltelefoner begynner å varsle med SMS-meldinger som indikerer at de raskt må logge på via lenken for å motta en viktig melding. Mens flertallet ignorerer denne uoppfordrede meldingen – en ansatt, som tror at det er en viktig og legitim melding, klikker på koblingen og skriver inn brukernavn og passord. Etter å ha «logget inn», blir den ansatte bedt om å se bort fra meldingen og takket for etterlevelsen.
Det som deretter skjedde var at angriperen, utstyrt med et legitimt Coinbase-ansatt brukernavn og passord, gjorde gjentatte forsøk på å få ekstern tilgang til Coinbase. Heldigvis var cyberkontrollene våre klare. Angriperen var ikke i stand til å gi den nødvendige multifaktorautentisering (MFA) legitimasjonen – og ble blokkert fra å få tilgang. I mange tilfeller vil det være slutten på historien. Men dette var ikke en hvilken som helst angriper. Vi tror denne personen er assosiert med en svært vedvarende og sofistikert angrepskampanje som har vært rettet mot mange selskaper siden i fjor.
Omtrent 20 minutter senere ringte mobilen til vår ansatte. Angriperen hevdet å være fra Coinbase corporate Information Technology (IT), og de trengte den ansattes hjelp. Ved å tro at de snakket med en legitim Coinbase IT-medarbeider, logget den ansatte på arbeidsstasjonen og begynte å følge angriperens instruksjoner. Det startet en frem og tilbake mellom angriperen og en stadig mer mistenkelig ansatt. Etter hvert som samtalen gikk, ble forespørslene mer og mer mistenkelige. Heldigvis ble ingen midler tatt og ingen kundeinformasjon ble åpnet eller sett, men noe begrenset kontaktinformasjon for våre ansatte ble tatt, spesielt ansattes navn, e-postadresser og noen telefonnumre.
Heldigvis var vårt Computer Security Incident Response Team (CSIRT) på toppen av dette problemet i løpet av de første 10 minuttene etter angrepet. Vår CSIRT ble varslet om uvanlig aktivitet av systemet vårt for sikkerhetshendelse og hendelseshåndtering (SIEM). Kort tid etter tok en av våre hendelsesreaksjoner kontakt med offeret via vårt interne Coinbase-meldingssystem og spurte om noen av de uvanlige oppførselene og bruksmønstrene knyttet til kontoen deres. Da den ansatte skjønte at noe var alvorlig galt, avsluttet han all kommunikasjon med angriperen.
Vårt CSIRT-team suspenderte umiddelbart all tilgang for den utsatte ansatte og startet en fullstendig etterforskning. På grunn av vårt lagdelte kontrollmiljø gikk det ingen tapte midler og ingen kundeinformasjon ble kompromittert. Oppryddingen gikk relativt raskt, men likevel – her er det mye å lære.
Hvem som helst kan bli sosialt utviklet
Mennesker er sosiale skapninger. Vi ønsker å komme overens. Vi ønsker å være en del av laget. Hvis du tror at du ikke kan la deg lure av en godt gjennomført sosial ingeniørkampanje – tuller du med deg selv. Under de rette omstendighetene kan nesten alle bli et offer.
Det vanskeligste angrepet av alle å motstå er et direkte kontakt sosialingeniørangrep, som det vår ansatte ble utsatt for her. Det er her angriperen kontakter deg direkte via sosiale medier, mobiltelefonen din, eller enda verre, går opp til ditt hjem eller forretningssted. Disse angrepene er ikke nye. Faktisk har denne typen angrep sikkert skjedd siden menneskehetens tidlige dager. Det er en favoritttaktikk for motstandere overalt – fordi det fungerer.
Så hva gjør vi? Hvordan stopper vi at dette skjer?
Jeg vil gjerne si at dette bare er et treningsproblem. At kunder, ansatte og folk overalt må trenes bedre. De må gjøre det bedre – det vil alltid være en viss sannhet i det. Men som cybersikkerhetseksperter kan ikke det være løsningen som unnskylder oss for hver gang dette skjer. Forskning viser igjen og igjen at alle mennesker kan bli lurt til slutt, uansett hvor våkne, dyktige og forberedte de er. Vi må alltid jobbe ut fra antakelsen om at dårlige ting vil skje. Vi må hele tiden innovere for å sløve effektiviteten til disse angrepene, samtidig som vi streber etter å forbedre den generelle opplevelsen til våre kunder og ansatte.
Kan du dele noen taktikker, teknikker og prosedyrer (TTP-er)?
Det kan vi sikkert. Gitt det brede omfanget av selskaper som er målrettet av denne aktøren, vil vi at alle skal vite det vi vet. Her er noen spesifikke ting vi anbefaler at du ser etter i bedriftsloggene / SIEM:
All nettrafikk fra teknologiressursene dine til følgende adresser, der * representerer firma- eller organisasjonsnavnet ditt:
sso-*.com
*-sso.com
login.*-sso.com
dashbord-*.com
*-dashboard.com
Eventuelle nedlastinger eller forsøk på nedlastinger av følgende eksterne skrivebordsvisningsprogrammer:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Alle forsøk på å få tilgang til organisasjonen din fra en tredjeparts VPN-leverandør, spesielt Mullvad VPN.
Innkommende telefonsamtaler/tekstmeldinger fra følgende leverandører:
Google Voice
Skype
Vonage/Nexmo
Båndbredde dot com"
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Om oss
- adgang
- aksesseres
- Logg inn
- kontoer
- handlinger
- aktivitet
- faktisk
- la til
- adresser
- Etter
- Varsle
- Alle
- alltid
- beløp
- og
- noen
- ca
- Artikkel
- Eiendeler
- assosiert
- forutsetningen
- angripe
- Angrep
- forsøkt
- forsøk
- Autentisering
- tilbake
- dårlig
- fordi
- blir
- begynte
- være
- tro
- mener
- tro
- Bedre
- mellom
- blokkert
- Blogg
- brudd
- bred
- virksomhet
- som heter
- Samtaler
- Kampanje
- Kampanjer
- saken
- saker
- Gjerne
- utfordringer
- omstendigheter
- hevdet
- coinbase
- Coinbase s
- COM
- Kommunikasjon
- kommunikasjon
- samfunnet
- Selskaper
- Selskapet
- Selskapets
- kompromiss
- kompromittert
- datamaskin
- Datasikkerhet
- BEKREFTET
- stadig
- kontakt
- kontakter
- kontroll
- kontroller
- Samtale
- Bedriftens
- Credentials
- krypto
- cryptocurrency
- Cryptocurrency Exchange
- valuta
- Gjeldende
- kunde
- kunde Data
- Kunder
- cyber
- Cyber Attack
- CYBERKRIMINELL
- nettkriminelle
- Cybersecurity
- dato
- dag
- Dager
- Avdeling
- designet
- desktop
- Til tross for
- detaljer
- forskjellig
- vanskelig
- direkte
- direkte
- diskutere
- DOT
- nedlastinger
- e-post
- Tidlig
- effektivitet
- innsats
- Ansatt
- ansatte
- Ingeniørarbeid
- Går inn
- Miljø
- utstyrt
- Selv
- Event
- etter hvert
- Hver
- alle
- nøyaktig
- utveksling
- erfaring
- erfaren
- eksperter
- utsatt
- Favoritt
- Februar
- Noen få
- Finn
- Firm
- Først
- følge
- etter
- skjema
- Heldigvis
- svindlere
- hyppig
- fra
- fullt
- midler
- tapte midler
- Gevinst
- få
- få
- Gi
- gitt
- hacket
- hackere
- skje
- skjedde
- Skjer
- skjer
- lykkelig
- Hard
- høre
- hjelpe
- her.
- svært
- Hjemprodukt
- Hvordan
- Men
- HTTPS
- Menneskeheten
- identifisere
- umiddelbart
- påvirket
- viktig
- forbedre
- in
- hendelse
- hendelsesrespons
- Inkludert
- stadig
- indikerer
- individuelt
- informasjon
- informasjonsteknologi
- i utgangspunktet
- nyskapende
- instruksjoner
- interessant
- intern
- etterforskning
- utstedelse
- saker
- IT
- Vet
- landing
- destinasjonssiden
- stor
- Siste
- I fjor
- Late
- siste
- lansert
- lagdelte
- ledende
- lært
- Lessons
- Begrenset
- LINK
- lenker
- Se
- ser
- tap
- Lot
- laget
- Flertall
- gjøre
- ledelse
- mange
- Saken
- Media
- medlem
- melding
- meldinger
- meldinger
- MFA
- minutter
- Mobil
- mobiltelefon
- mobiltelefoner
- mer
- mest
- multi
- multifaktorautentisering
- navn
- navn
- nesten
- Trenger
- nødvendig
- Ny
- neste
- Antall
- tall
- ONE
- på nett
- organisasjon
- samlet
- del
- parti
- Passord
- mønstre
- Ansatte
- phishing
- phishing-angrep
- telefon
- telefonsamtaler
- telefoner
- Sted
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- postet
- forberedt
- Problem
- prosedyrer
- fagfolk
- Profit
- utviklet seg
- beskytte
- beskyttet
- gi
- forutsatt
- leverandør
- tilbydere
- Rask
- å nå
- nådd
- Lese
- klar
- realisere
- grunnen til
- grunner
- motta
- nylig
- nylig
- gjenkjent
- anbefaler
- om
- relativt
- forblir
- fjernkontroll
- fjerntilgang
- gjentatt
- rapportert
- representerer
- forespørsler
- påkrevd
- forskning
- svar
- ansvarlig
- sikrere
- Sa
- Svindel
- omfang
- sikre
- sikkerhet
- sending
- sensitive
- flere
- Del
- Aksjer
- Om kort tid
- Viser
- signifikant
- likheter
- Enkelt
- siden
- dyktig
- SMS
- So
- selskap
- Sosialteknikk
- sosiale medier
- løsning
- noen
- noe
- sofistikert
- sett
- spesifikk
- spesielt
- Staff
- Begynn
- starter
- Uttalelse
- Steps
- Still
- stjal
- stjålet
- Stopp
- Story
- slik
- suspendert
- mistenkelig
- system
- Systemer
- taktikk
- snakker
- målrettet
- rettet mot
- mål
- lag
- teknikker
- Teknologi
- ti
- De
- Coinbase
- deres
- seg
- ting
- Tredje
- trussel
- Gjennom
- tid
- til
- topp
- trafikk
- trent
- Kurs
- Åpenhet
- etter
- forstå
- uvanlig
- bruk
- Verdifull
- av
- Offer
- seere
- VPN
- måter
- web
- Nettrafikk
- Nettsted
- Hva
- hvilken
- mens
- vil
- innenfor
- Arbeid
- virker
- arbeidsstasjon
- Verdens
- ville
- Feil
- år
- Din
- deg selv
- zephyrnet