Coinbase devine cea mai recentă victimă a unui atac cibernetic în care un actor neidentificat a făcut eforturi semnificative pentru a încălca sistemele interne ale uneia dintre cele mai importante platforme de schimb de criptomonede din lume printr-un atac de tip phishing.
Într-un blog postat pe site-ul său, Coinbase a confirmat că datele din directorul nostru corporativ au fost expuse după ce atacatorii cibernetici au reușit să-și încalce sistemul. Într-o declarație, Coinbase a spus:
„Coinbase a suferit recent un atac de securitate cibernetică care l-a vizat pe unul dintre angajații săi. Din fericire, controalele cibernetice ale Coinbase au împiedicat atacatorul să obțină acces direct la sistem și au prevenit orice pierdere de fonduri sau compromiterea informațiilor despre clienți. Doar o cantitate limitată de date din directorul nostru corporativ a fost expusă.”
Deși Coinbase a spus că fondurile clienților, precum și datele clienților, sunt securizate, firma de securitate cibernetică Group-IB a adăugat că actorul amenințării a furat aproape 1,000 de autentificări de acces corporative prin trimiterea de legături de phishing prin SMS către angajații companiei.
Criminalul cibernetic i-a vizat inițial pe angajații Coinbase, trimițând cinci mesaje SMS de phishing, îndemnându-i să se conecteze urgent la conturile companiei și să citească un mesaj important. Mesajele conțineau un link care imita pagina de conectare corporativă Coinbase, dar era de fapt o pagină de destinație rău intenționată, concepută pentru a fura date sensibile.
În timp ce majoritatea angajaților nu au fost păcăliți de phishing, un angajat a căzut pentru înșelătorie și le-a dat hackerilor acreditările lor de conectare. Cu toate acestea, contul a fost protejat cu autentificare multifactor (MFA), care a limitat acțiunile hackerilor. Cu toate acestea, nu au cedat și au sunat victima, prefăcându-se că sunt departamentul IT al companiei. Ei i-au instruit victimei să se conecteze la stația de lucru și să urmeze diferiți pași.
Coinbase a raportat că a avut nevoie de CSIRT (Computer Security Incident Response Team) aproximativ zece minute pentru a identifica atacul și a contacta victima cu privire la activitatea suspectă. Victima a recunoscut prompt că sunt fraudate și a încheiat comunicarea cu atacatorul.
Campania actuală are asemănări cu campaniile de phishing Scatter Swine/0ktapus de anul trecut, despre care experții cibernetici de la Group-IB au dezvăluit că au dus la aproape 1,000 de autentificări de acces corporative furate prin mesaje SMS de phishing. În ciuda acestui fapt, partea responsabilă pentru recentul atac rămâne necunoscută.
Mai jos, Coinbase a explicat cum a avut loc atacul.
„Dr – Coinbase a suferit recent un atac de securitate cibernetică care l-a vizat pe unul dintre angajații săi. Din fericire, controalele cibernetice ale Coinbase au împiedicat atacatorul să obțină acces direct la sistem și au prevenit orice pierdere de fonduri sau compromiterea informațiilor despre clienți. Doar o cantitate limitată de date din directorul nostru corporativ a fost expusă. Coinbase crede în transparență și dorim ca angajații noștri, clienții și comunitatea să audă detaliile acestui atac și să împărtășească Tacticile, Tehnicile și Procedurile (TTP) folosite de acest adversar, astfel încât toată lumea să se poată proteja mai bine.
Clienții și angajații Coinbase sunt ținta frecventă a fraudătorilor. Motivul este simplu – moneda sub orice formă, inclusiv cripto, este exact ceea ce urmăresc infractorii cibernetici. Nu este greu de înțeles de ce atât de mulți adversari caută în mod constant modalități de a obține un profit rapid.
A face față unui număr atât de mare de adversari și provocări de securitate cibernetică este unul dintre motivele pentru care consider că Coinbase este un loc atât de interesant pentru a lucra. În acest articol, vom discuta despre un atac cibernetic real și un incident cibernetic asociat cu care ne-am ocupat recent aici la Coinbase. Deși sunt foarte bucuros să spun că în acest caz nu au fost afectate fondurile clienților sau informațiile despre clienți, mai sunt încă lecții valoroase de învățat. La Coinbase credem în transparență. Vorbind deschis despre probleme de securitate ca aceasta, cred că facem întreaga comunitate mai sigură și mai conștientă de securitate.
Povestea noastră începe târziu în ziua de duminică, 5 februarie 2023. Mai multe telefoane mobile ale angajaților încep să alerteze cu mesaje SMS indicând că trebuie să se conecteze urgent prin linkul furnizat pentru a primi un mesaj important. În timp ce majoritatea ignoră acest mesaj nesolicitat – un angajat, crezând că este un mesaj important și legitim, dă clic pe link și introduce numele de utilizator și parola. După „conectare”, angajatului i se cere să ignore mesajul și îi mulțumește pentru conformare.
Ceea ce s-a întâmplat în continuare a fost că atacatorul, echipat cu un nume de utilizator și o parolă legitime pentru angajatul Coinbase, a făcut încercări repetate de a obține acces de la distanță la Coinbase. Din fericire, controalele noastre cibernetice erau gata. Atacatorul nu a reușit să furnizeze acreditările necesare pentru Multi Factor Authentication (MFA) și i s-a blocat accesul. În multe cazuri, acesta ar fi sfârșitul poveștii. Dar acesta nu a fost orice atacator. Credem că această persoană este asociată cu o campanie de atac extrem de persistentă și sofisticată care vizează zeci de companii încă de anul trecut.
Aproximativ 20 de minute mai târziu a sunat telefonul mobil al angajatului nostru. Atacatorul a susținut că este de la Coinbase Corporate Information Technology (IT) și avea nevoie de ajutorul angajatului. Crezând că vorbesc cu un membru legitim al personalului IT Coinbase, angajatul s-a conectat la stația de lucru și a început să urmeze instrucțiunile atacatorului. Asta a început un dus și înapoi între atacator și un angajat din ce în ce mai suspicios. Pe măsură ce conversația a progresat, cererile au devenit din ce în ce mai suspecte. Din fericire, nu au fost luate fonduri și nu au fost accesate sau vizualizate informații despre clienți, dar au fost preluate câteva informații de contact limitate pentru angajații noștri, în special numele angajaților, adresele de e-mail și unele numere de telefon.
Din fericire, echipa noastră de răspuns la incidente de securitate informatică (CSIRT) a fost în topul acestei probleme în primele 10 minute de la atac. CSIRT-ul nostru a fost alertat cu privire la o activitate neobișnuită de către sistemul nostru de management al incidentelor și evenimentelor de securitate (SIEM). La scurt timp după aceea, unul dintre respondenții noștri a contactat victima prin intermediul sistemului nostru intern de mesagerie Coinbase, întrebând despre unele dintre comportamentele neobișnuite și modelele de utilizare asociate contului său. Dându-și seama că ceva nu era în regulă, angajatul a întrerupt toate comunicările cu atacatorul.
Echipa noastră CSIRT a suspendat imediat orice acces pentru angajatul victimizat și a lansat o investigație completă. Datorită mediului nostru de control stratificat, nu s-au pierdut fonduri și nicio informație despre clienți nu a fost compromisă. Curățarea a fost relativ rapidă, dar totuși – există o mulțime de lecții de învățat aici.
Oricine poate fi inginerie socială
Oamenii sunt creaturi sociale. Vrem să ne înțelegem. Ne dorim să facem parte din echipă. Dacă crezi că nu poți fi păcălit de o campanie de inginerie socială bine executată – te glumiți. În circumstanțe potrivite, aproape oricine poate fi o victimă.
Cel mai dificil atac la care să reziste este un atac de inginerie socială de contact direct, precum cel la care a suferit angajatul nostru aici. Aici atacatorul vă contactează direct prin intermediul rețelelor de socializare, a telefonului mobil sau chiar mai rău, ajunge la casa sau la locul dvs. de afaceri. Aceste atacuri nu sunt noi. De fapt, aceste tipuri de atacuri au avut loc cu siguranță încă din primele zile ale umanității. Este tactica preferată a adversarilor de pretutindeni – pentru că funcționează.
Deci ce facem? Cum oprim să se întâmple asta?
Aș dori să spun că aceasta este doar o problemă de antrenament. Că clienții, angajații și oamenii de pretutindeni trebuie să fie mai bine instruiți. Ei trebuie să facă mai bine – va exista întotdeauna ceva adevăr în asta. Dar, în calitate de profesioniști în securitate cibernetică, aceasta nu poate fi soluția scuza la care ajungem de fiecare dată când se întâmplă acest lucru. Cercetările arată din nou și din nou că toți oamenii pot fi păcăliți în cele din urmă, indiferent cât de atenți, pricepuți și pregătiți ar fi. Trebuie să lucrăm întotdeauna din ipoteza că se vor întâmpla lucruri rele. Trebuie să inovăm în mod constant pentru a reduce eficacitatea acestor atacuri, totodată ne străduim să îmbunătățim experiența generală a clienților și angajaților noștri.
Puteți împărtăși orice tactici, tehnici și proceduri (TTP)?
Sigur putem. Având în vedere sfera largă a companiilor care sunt vizate de acest actor, dorim ca toată lumea să știe ce știm. Iată câteva lucruri specifice pe care vă recomandăm să le căutați în jurnalele dvs. corporative / SIEM:
Orice trafic web de la activele dvs. tehnologice către următoarele adrese, unde * reprezintă numele companiei sau organizației dvs.:
sso-*.com
*-sso.com
autentificare.*-sso.com
tabloul de bord-*.com
*-dashboard.com
Orice descărcare sau încercare de descărcare a următoarelor vizualizatoare desktop la distanță:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Orice încercare de a vă accesa organizația de la un furnizor VPN terță parte, în special Mullvad VPN.
Apeluri telefonice primite / mesaje text de la următorii furnizori:
voce Google
Skype
Vonage/Nexmo
Lățimea de bandă punct com”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- Despre Noi
- acces
- accesate
- Cont
- Conturi
- acțiuni
- activitate
- de fapt
- adăugat
- adrese
- După
- Alerta
- TOATE
- mereu
- sumă
- și
- oricine
- aproximativ
- articol
- Bunuri
- asociate
- presupunere
- ataca
- Atacuri
- a încercat să
- Încercările
- Autentificare
- înapoi
- Rău
- deoarece
- devine
- început
- fiind
- Crede
- consideră că
- credincios
- Mai bine
- între
- blocat
- Blog
- încălcarea
- larg
- afaceri
- denumit
- apeluri
- Campanie
- Campanii
- caz
- cazuri
- cu siguranță
- provocări
- împrejurări
- revendicat
- coinbase
- lui Coinbase
- COM
- Comunicare
- Comunicații
- comunitate
- Companii
- companie
- Compania
- compromis
- compromis
- calculator
- Securitatea computerului
- CONFIRMAT
- mereu
- contactați-ne
- contacte
- Control
- controale
- Conversație
- Istoria
- scrisori de acreditare
- cripto
- cryptocurrency
- Schimb de criptomonede
- Monedă
- Curent
- client
- datele despre consumator
- clienţii care
- Cyber
- Cyber Attack
- CYBERCRIMINAL
- cybercriminals
- Securitate cibernetică
- de date
- zi
- Zi
- Departament
- proiectat
- desktop
- În ciuda
- detalii
- diferit
- dificil
- direcționa
- direct
- discuta
- DOT
- download-uri
- Devreme
- eficacitate
- Eforturile
- Angajat
- de angajați
- Inginerie
- intră
- Mediu inconjurator
- echipat
- Chiar
- eveniment
- în cele din urmă
- Fiecare
- toată lumea
- exact
- schimb
- experienţă
- cu experienţă
- experți
- expus
- Favorite
- februarie
- puțini
- Găsi
- Firmă
- First
- urma
- următor
- formă
- din fericire
- evazioniștilor
- frecvent
- din
- Complet
- Fondurile
- fonduri pierdute
- Câştig
- câștigă
- obține
- Da
- dat
- tocat
- hackeri
- întâmpla
- sa întâmplat
- lucru
- se întâmplă
- fericit
- Greu
- auzi
- ajutor
- aici
- extrem de
- Acasă
- Cum
- Totuși
- HTTPS
- Umanitate
- identifica
- imediat
- afectate
- important
- îmbunătăţi
- in
- incident
- răspuns la incident
- Inclusiv
- tot mai mult
- indicând
- individ
- informații
- tehnologia informației
- inițial
- inovatoare
- instrucțiuni
- interesant
- intern
- investigaţie
- problema
- probleme de
- IT
- Cunoaște
- aterizare
- Pagina de destinație
- mare
- Nume
- Anul trecut
- Târziu
- Ultimele
- a lansat
- stratificat
- conducere
- învățat
- Lectii
- Limitat
- LINK
- Link-uri
- Uite
- cautati
- de pe
- Lot
- făcut
- Majoritate
- face
- administrare
- multe
- materie
- Mass-media
- membru
- mesaj
- mesaje
- mesagerie
- AMF
- minute
- Mobil
- telefon mobil
- telefoane mobile
- mai mult
- cele mai multe
- Multicolor
- autentificare multi-factor
- nume
- nume
- aproape
- Nevoie
- necesar
- Nou
- următor
- număr
- numere
- ONE
- on-line
- organizație
- global
- parte
- parte
- Parolă
- modele
- oameni
- Phishing
- atac de phishing
- telefon
- apeluri telefonice
- Telefoane
- Loc
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- postat
- pregătit
- Problemă
- Proceduri
- profesioniști
- Profit
- a progresat
- proteja
- protejat
- furniza
- prevăzut
- furnizorul
- furnizori
- Rapid
- ajunge
- atins
- Citeste
- gata
- realizarea
- motiv
- motive
- a primi
- recent
- recent
- recunoscut
- recomanda
- cu privire la
- relativ
- rămășițe
- la distanta
- acces de la distanță
- repetat
- Raportat
- reprezintă
- cereri de
- necesar
- cercetare
- răspuns
- responsabil
- mai sigur
- Said
- Înșelătorie
- domeniu
- sigur
- securitate
- trimitere
- sensibil
- câteva
- Distribuie
- Acțiuni
- Pe scurt
- Emisiuni
- semnificativ
- asemănări
- simplu
- întrucât
- calificat
- SMS-uri
- So
- Social
- Inginerie sociala
- social media
- soluţie
- unele
- ceva
- sofisticat
- vorbire
- specific
- specific
- Personal
- Începe
- începe
- Declarație
- paşi
- Încă
- furat
- furate
- Stop
- Poveste
- astfel de
- suspendată
- suspicios
- sistem
- sisteme
- tactică
- vorbesc
- vizate
- direcționare
- obiective
- echipă
- tehnici de
- Tehnologia
- zece
- Coinbase
- lor
- se
- lucruri
- Al treilea
- amenințare
- Prin
- timp
- la
- top
- trafic
- dresat
- Pregătire
- Transparență
- în
- înţelege
- Ciudat
- Folosire
- Valoros
- de
- Victimă
- spectatori
- VPN
- modalități de
- web
- Trafic web
- website
- Ce
- care
- în timp ce
- voi
- în
- Apartamente
- fabrică
- Statie de lucru
- lume
- ar
- Greșit
- an
- Ta
- te
- zephyrnet