Coinbase staje się ostatnią ofiarą cyberataku, w którym niezidentyfikowany cyberprzestępca podjął znaczne wysiłki w celu włamania się do wewnętrznych systemów jednej z wiodących na świecie platform wymiany kryptowalut poprzez atak phishingowy.
Na blogu opublikowanym na swojej stronie internetowej Coinbase potwierdził, że dane z naszego firmowego katalogu zostały ujawnione po tym, jak cyberprzestępcom udało się włamać do jego systemu. W oświadczeniu Coinbase powiedział:
„Coinbase niedawno doświadczył ataku cybernetycznego, którego celem był jeden z jego pracowników. Na szczęście cyberkontrola Coinbase uniemożliwiła atakującemu uzyskanie bezpośredniego dostępu do systemu i zapobiegła utracie środków lub naruszeniu informacji o klientach. Ujawniono tylko ograniczoną ilość danych z naszego firmowego katalogu”.
Chociaż Coinbase powiedział, że fundusze klientów, a także dane klientów, są bezpieczne, firma Group-IB zajmująca się cyberbezpieczeństwem dodała, że ugrupowanie cyberprzestępcze ukradło prawie 1,000 firmowych loginów dostępu, wysyłając łącza phishingowe przez SMS do pracowników firmy.
Cyberprzestępca początkowo obrał sobie za cel pracowników Coinbase, wysyłając pięć phishingowych wiadomości SMS, wzywając ich do pilnego zalogowania się na swoje konta firmowe i przeczytania ważnej wiadomości. Wiadomości zawierały link, który naśladował korporacyjną stronę logowania Coinbase, ale w rzeczywistości była to złośliwa strona docelowa zaprojektowana w celu kradzieży poufnych danych.
Podczas gdy większość pracowników nie dała się oszukać phishingowi, jeden z nich dał się nabrać na oszustwo i przekazał hakerom swoje dane logowania. Konto było jednak chronione wieloskładnikowym uwierzytelnianiem (MFA), co ograniczało działania hakerów. Mimo to nie poddali się i zadzwonili do ofiary, udając dział IT firmy. Instruowali ofiarę, aby zalogowała się do stacji roboczej i wykonała różne kroki.
Coinbase poinformowało, że zidentyfikowanie ataku i skontaktowanie się z ofiarą w sprawie podejrzanej aktywności zajęło zespołowi CSIRT (Computer Security Incident Response Team) około dziesięciu minut. Ofiara szybko zorientowała się, że została oszukana i zakończyła komunikację z napastnikiem.
Obecna kampania jest podobna do zeszłorocznych kampanii phishingowych Scatter Swine/0ktapus, w wyniku których, jak ujawnili eksperci ds. Mimo to strona odpowiedzialna za niedawny atak pozostaje nieznana.
Poniżej Coinbase wyjaśnione jak doszło do ataku.
„Tl; dr – Coinbase doświadczyło ostatnio ataku cyberbezpieczeństwa, którego celem był jeden z jego pracowników. Na szczęście cyberkontrola Coinbase uniemożliwiła atakującemu uzyskanie bezpośredniego dostępu do systemu i zapobiegła utracie środków lub naruszeniu informacji o klientach. Ujawniono tylko ograniczoną ilość danych z naszego firmowego katalogu. Coinbase wierzy w przejrzystość i chcemy, aby nasi pracownicy, klienci i społeczność poznali szczegóły tego ataku i podzielili się taktykami, technikami i procedurami (TTP) używanymi przez tego przeciwnika, aby każdy mógł lepiej się chronić.
Klienci i pracownicy Coinbase są częstym celem oszustów. Powód jest prosty – waluta w dowolnej formie, w tym krypto, jest dokładnie tym, czego szukają cyberprzestępcy. Nietrudno zrozumieć, dlaczego tak wielu przeciwników nieustannie szuka sposobów na szybki zysk.
Radzenie sobie z tak dużą liczbą przeciwników i wyzwaniami związanymi z cyberbezpieczeństwem to jeden z powodów, dla których uważam Coinbase za tak interesujące miejsce do pracy. W tym artykule omówimy rzeczywisty cyberatak i związany z nim incydent cybernetyczny, z którym niedawno mieliśmy do czynienia tutaj w Coinbase. Chociaż z przyjemnością stwierdzam, że w tym przypadku żadne środki klientów ani informacje o klientach nie zostały naruszone, nadal można wyciągnąć cenne wnioski. W Coinbase wierzymy w przejrzystość. Wierzę, że rozmawiając otwarcie o takich kwestiach bezpieczeństwa, czynimy całą społeczność bezpieczniejszą i bardziej świadomą bezpieczeństwa.
Nasza historia zaczyna się późnym wieczorem w niedzielę 5 lutego 2023 r. Telefony komórkowe kilku pracowników zaczynają alarmować wiadomościami SMS informującymi, że muszą pilnie zalogować się za pomocą podanego łącza, aby otrzymać ważną wiadomość. Podczas gdy większość ignoruje tę nieproszoną wiadomość – jeden pracownik, wierząc, że jest to ważna i uzasadniona wiadomość, klika link i wprowadza swoją nazwę użytkownika i hasło. Po „zalogowaniu” pracownik jest proszony o zignorowanie wiadomości i podziękowanie za zastosowanie się.
Następnie atakujący, wyposażony w legalną nazwę użytkownika i hasło pracownika Coinbase, wielokrotnie podejmował próby uzyskania zdalnego dostępu do Coinbase. Na szczęście nasze cyberkontrole były gotowe. Atakujący nie był w stanie podać wymaganych poświadczeń Multi Factor Authentication (MFA) i został zablokowany przed uzyskaniem dostępu. W wielu przypadkach byłby to koniec historii. Ale to nie był byle jaki napastnik. Uważamy, że ta osoba jest powiązana z wysoce uporczywą i wyrafinowaną kampanią ataków, która od zeszłego roku była wymierzona w dziesiątki firm.
Około 20 minut później zadzwonił telefon komórkowy naszego pracownika. Atakujący twierdził, że pochodzi z korporacyjnej technologii informacyjnej (IT) Coinbase i potrzebował pomocy pracownika. Sądząc, że rozmawiają z legalnym pracownikiem IT Coinbase, pracownik zalogował się na swojej stacji roboczej i zaczął postępować zgodnie z instrukcjami atakującego. Od tego zaczęła się wymiana zdań między napastnikiem a coraz bardziej podejrzliwym pracownikiem. W miarę postępu rozmowy prośby stawały się coraz bardziej podejrzane. Na szczęście nie pobrano żadnych funduszy ani nie uzyskano dostępu ani nie przeglądano żadnych informacji o klientach, ale pobrano pewne ograniczone informacje kontaktowe naszych pracowników, w szczególności nazwiska pracowników, adresy e-mail i niektóre numery telefonów.
Na szczęście nasz zespół reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT) poradził sobie z tym problemem w ciągu pierwszych 10 minut od ataku. Nasz zespół CSIRT został powiadomiony o nietypowej aktywności przez nasz system zarządzania incydentami i zdarzeniami związanymi z bezpieczeństwem (SIEM). Wkrótce potem jeden z naszych ratowników skontaktował się z ofiarą za pośrednictwem naszego wewnętrznego systemu przesyłania wiadomości Coinbase, pytając o niektóre nietypowe zachowania i wzorce użytkowania związane z ich kontem. Zdając sobie sprawę, że coś jest nie tak, pracownik przerwał wszelką komunikację z atakującym.
Nasz zespół CSIRT natychmiast zawiesił wszelki dostęp poszkodowanemu pracownikowi i rozpoczął pełne dochodzenie. Dzięki naszemu wielowarstwowemu środowisku kontroli nie doszło do utraty środków ani naruszenia bezpieczeństwa informacji o klientach. Sprzątanie było stosunkowo szybkie, ale mimo to – można wyciągnąć z tego wiele lekcji.
Każdy może zostać poddany inżynierii społecznej
Ludzie są istotami społecznymi. Chcemy się dogadać. Chcemy być częścią zespołu. Jeśli myślisz, że dobrze przeprowadzona kampania socjotechniczna nie da się nabrać – oszukujesz samego siebie. W odpowiednich okolicznościach prawie każdy może stać się ofiarą.
Ze wszystkich ataków, którym najtrudniej jest się oprzeć, jest bezpośredni atak socjotechniczny, taki jak ten, którego doznał tutaj nasz pracownik. W tym miejscu atakujący kontaktuje się z Tobą bezpośrednio za pośrednictwem mediów społecznościowych, telefonu komórkowego lub, co gorsza, podchodzi do Twojego domu lub miejsca prowadzenia działalności. Te ataki nie są nowe. W rzeczywistości tego rodzaju ataki z pewnością miały miejsce od początków ludzkości. To ulubiona taktyka przeciwników na całym świecie – ponieważ działa.
Więc co robimy? Jak możemy temu zapobiec?
Chciałbym powiedzieć, że to tylko problem treningowy. Że klienci, pracownicy i ludzie na całym świecie muszą być lepiej przeszkoleni. Muszą się poprawić – zawsze będzie w tym trochę prawdy. Ale jako specjaliści od cyberbezpieczeństwa nie może to być wymówka, po którą sięgamy za każdym razem, gdy tak się dzieje. Badania pokazują raz po raz, że wszystkich ludzi można w końcu oszukać, bez względu na to, jak bardzo są czujni, wykwalifikowani i przygotowani. Zawsze musimy wychodzić z założenia, że złe rzeczy się wydarzą. Musimy stale wprowadzać innowacje, aby osłabić skuteczność tych ataków, jednocześnie dążąc do poprawy ogólnego doświadczenia naszych klientów i pracowników.
Czy możesz udostępnić jakieś taktyki, techniki i procedury (TTP)?
Z pewnością możemy. Biorąc pod uwagę szeroki zakres firm, na które atakuje ten aktor, chcemy, aby wszyscy wiedzieli to, co my wiemy. Oto kilka konkretnych rzeczy, które zalecamy szukać w dziennikach korporacyjnych / SIEM:
Wszelki ruch sieciowy z Twoich zasobów technologicznych na następujące adresy, gdzie * oznacza nazwę Twojej firmy lub organizacji:
sso-*.com
*-sso.com
login.*-sso.com
dashboard-*.com
*-dashboard.com
Wszelkie pobrania lub próby pobrania następujących przeglądarek pulpitu zdalnego:
AnyDesk (dot com w dowolnym miejscu)
ISL Online (islonline dot com)
Wszelkie próby uzyskania dostępu do Twojej organizacji przez zewnętrznego dostawcę VPN, w szczególności Mullvad VPN.
Przychodzące połączenia telefoniczne / wiadomości tekstowe od następujących dostawców:
Google Voice
Skype
Vonage/Nexmo
Przepustowość dot com”
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- O nas
- dostęp
- dostęp
- Konto
- Konta
- działania
- działalność
- faktycznie
- w dodatku
- Adresy
- Po
- Alarm
- Wszystkie kategorie
- zawsze
- ilość
- i
- ktoś
- w przybliżeniu
- artykuł
- Aktywa
- powiązany
- założenie
- atakować
- Ataki
- próbę
- Próby
- Uwierzytelnianie
- z powrotem
- Łazienka
- bo
- staje się
- rozpoczął
- jest
- uwierzyć
- uważa,
- wierząc
- Ulepsz Swój
- pomiędzy
- zablokowany
- Blog
- naruszenie
- szeroki
- biznes
- nazywa
- Połączenia
- Kampania
- Kampanie
- walizka
- Etui
- na pewno
- wyzwania
- okoliczności
- twierdził,
- coinbase
- Coinbase
- COM
- Komunikacja
- Komunikacja
- społeczność
- Firmy
- sukcesy firma
- Firma
- kompromis
- Zagrożone
- komputer
- Bezpieczeństwo komputera
- ZATWARDZIAŁY
- stale
- skontaktuj się
- łączność
- kontrola
- kontroli
- Rozmowa
- Korporacyjny
- Listy uwierzytelniające
- Crypto
- kryptowaluta
- Wymiana kryptowalut
- Waluta
- Aktualny
- klient
- dane klienta
- Klientów
- cyber
- Cyberatak
- CYBERPRZESTĘPCA
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- dane
- dzień
- Dni
- Departament
- zaprojektowany
- stacjonarny
- Mimo
- detale
- różne
- trudny
- kierować
- bezpośrednio
- dyskutować
- DOT
- pliki do pobrania
- Wcześnie
- skuteczność
- starania
- Pracownik
- pracowników
- Inżynieria
- Wchodzi
- Środowisko
- wyposażony
- Parzyste
- wydarzenie
- ostatecznie
- Każdy
- wszyscy
- dokładnie
- wymiana
- doświadczenie
- doświadczony
- eksperci
- narażony
- Moja lista
- luty
- kilka
- Znajdź
- Firma
- i terminów, a
- obserwuj
- następujący
- Nasz formularz
- na szczęście
- oszuści
- częsty
- od
- pełny
- fundusze
- utracone środki
- Wzrost
- zyskuje
- otrzymać
- Dać
- dany
- hacked
- hakerzy
- zdarzyć
- się
- Wydarzenie
- dzieje
- Zaoszczędzić
- Ciężko
- słyszeć
- pomoc
- tutaj
- wysoko
- Strona główna
- W jaki sposób
- Jednak
- HTTPS
- Ludzkość
- zidentyfikować
- natychmiast
- wpływ
- ważny
- podnieść
- in
- incydent
- reakcja na incydent
- Włącznie z
- coraz bardziej
- wskazując,
- indywidualny
- Informacja
- technologia informacyjna
- początkowo
- innowacyjne
- instrukcje
- ciekawy
- wewnętrzny
- śledztwo
- problem
- problemy
- IT
- Wiedzieć
- lądowanie
- strona docelowa
- duży
- Nazwisko
- Ostatni rok
- Późno
- firmy
- uruchomiona
- warstwowy
- prowadzący
- dowiedziałem
- Lekcje
- Ograniczony
- LINK
- linki
- Popatrz
- poszukuje
- od
- Partia
- zrobiony
- Większość
- robić
- i konserwacjami
- wiele
- Materia
- Media
- członek
- wiadomość
- wiadomości
- wiadomości
- MSZ
- minuty
- Aplikacje mobilne
- telefon komórkowy
- telefony komórkowe
- jeszcze
- większość
- wielo
- wieloczynnikowe uwierzytelnianie
- Nazwa
- Nazwy
- prawie
- Potrzebować
- potrzebne
- Nowości
- Następny
- numer
- z naszej
- ONE
- Online
- organizacja
- ogólny
- część
- przyjęcie
- Hasło
- wzory
- Ludzie
- phishing
- atak phishingowy
- telefon
- rozmowy telefoniczne
- telefony
- Miejsce
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- napisali
- przygotowany
- Problem
- procedury
- specjalistów
- Zysk
- postęp
- chronić
- chroniony
- zapewniać
- pod warunkiem,
- dostawca
- dostawców
- Szybki
- dosięgnąć
- osiągnięty
- Czytaj
- gotowy
- zrealizowanie
- powód
- Przyczyny
- otrzymać
- niedawny
- niedawno
- uznane
- polecić
- w sprawie
- stosunkowo
- szczątki
- zdalny
- zdalny dostęp
- powtórzony
- Zgłoszone
- reprezentuje
- wywołań
- wymagany
- Badania naukowe
- odpowiedź
- odpowiedzialny
- bezpieczniej
- Powiedział
- oszustwo
- zakres
- bezpieczne
- bezpieczeństwo
- wysyłanie
- wrażliwy
- kilka
- Share
- Akcje
- Wkrótce
- Targi
- znaczący
- podobieństwa
- Prosty
- ponieważ
- wykwalifikowany
- SMS
- So
- Obserwuj Nas
- Inżynieria społeczna
- Media społecznościowe
- rozwiązanie
- kilka
- coś
- wyrafinowany
- Mówiąc
- specyficzny
- swoiście
- Personel
- początek
- rozpocznie
- Zestawienie sprzedaży
- Cel
- Nadal
- Ukradłem
- skradziony
- Stop
- Historia
- taki
- zawieszony
- podejrzliwy
- system
- systemy
- taktyka
- rozmawiać
- ukierunkowane
- kierowania
- cele
- zespół
- Techniki
- Technologia
- dziesięć
- Połączenia
- Coinbase
- ich
- sami
- rzeczy
- Trzeci
- groźba
- Przez
- czas
- do
- Top
- ruch drogowy
- przeszkolony
- Trening
- Przezroczystość
- dla
- zrozumieć
- niezwykły
- Stosowanie
- Cenny
- przez
- Ofiara
- widzów
- VPN
- sposoby
- sieć
- Ruch internetowy
- Strona internetowa
- Co
- który
- Podczas
- będzie
- w ciągu
- Praca
- działa
- stacja robocza
- świat
- by
- Źle
- rok
- Twój
- siebie
- zefirnet