Coinbase postane zadnja žrtev kibernetskega napada, v katerem je neidentificirani akter grožnje močno poskušal vdreti v notranje sisteme ene od vodilnih svetovnih platform za menjavo kriptovalut z napadom lažnega predstavljanja.
Coinbase je v blogu, objavljenem na svojem spletnem mestu, potrdil, da so bili podatki iz našega poslovnega imenika razkriti, potem ko je kibernetskim napadalcem uspelo vdreti v njegov sistem. V izjavi Coinbase je dejal:
»Coinbase je pred kratkim doživel napad na kibernetsko varnost, ki je bil tarča enega od njegovih zaposlenih. Na srečo je kibernetski nadzor Coinbase napadalcu preprečil neposreden dostop do sistema in preprečil kakršno koli izgubo sredstev ali ogrožanje podatkov o strankah. Razkrita je bila le omejena količina podatkov iz našega poslovnega imenika.«
Čeprav je Coinbase dejal, da so sredstva strank in podatki o strankah varni, je podjetje za kibernetsko varnost Group-IB dodalo, da je akter grožnje ukradel skoraj 1,000 prijav za dostop do podjetij s pošiljanjem povezav do lažnega predstavljanja preko SMS-ov zaposlenim v podjetju.
Kibernetski kriminalec je sprva ciljal na zaposlene v Coinbase s pošiljanjem petih lažnih sporočil SMS, v katerih jih je pozval, naj se nujno prijavijo v račune svojih podjetij in preberejo pomembno sporočilo. Sporočila so vsebovala povezavo, ki je posnemala stran za prijavo podjetja Coinbase, vendar je bila v resnici zlonamerna ciljna stran, namenjena kraji občutljivih podatkov.
Medtem ko večina zaposlenih lažno predstavljanje ni preslepila, je en zaposleni nasedel prevari in hekerjem dal svoje poverilnice za prijavo. Vendar je bil račun zaščiten z večfaktorsko avtentikacijo (MFA), ki je omejila dejanja hekerjev. Kljub temu se niso dali in so poklicali oškodovanca, ki se je predstavljal kot IT-oddelek podjetja. Žrtvi so naročili, naj se prijavi v delovno postajo in sledi različnim korakom.
Coinbase je poročal, da je CSIRT (Computer Security Incident Response Team) potreboval približno deset minut, da je identificiral napad in stopil v stik z žrtvijo glede sumljive dejavnosti. Žrtev je takoj prepoznala, da je bila ogoljufana, in prekinila komunikacijo z napadalcem.
Trenutna kampanja ima podobnosti z lanskoletno lažno lažno kampanjo Scatter Swine/0ktapus, za katero so kibernetski strokovnjaki iz Group-IB razkrili, da je povzročila skoraj 1,000 ukradenih prijav za dostop do podjetij prek lažnih sporočil SMS. Kljub temu odgovorna oseba za nedavni napad ostaja neznana.
Spodaj, Coinbase razložiti kako je prišlo do napada.
»Tl;dr – Coinbase je pred kratkim doživel napad na kibernetsko varnost, ki je bil tarča enega od njegovih zaposlenih. Na srečo je kibernetski nadzor Coinbase napadalcu preprečil neposreden dostop do sistema in preprečil kakršno koli izgubo sredstev ali ogrožanje podatkov o strankah. Razkrita je bila le omejena količina podatkov iz našega poslovnega imenika. Coinbase verjame v preglednost in želimo, da naši zaposleni, stranke in skupnost slišijo podrobnosti tega napada ter delijo taktike, tehnike in postopke (TTP), ki jih uporablja ta nasprotnik, da se lahko vsakdo bolje zaščiti.
Stranke in zaposleni pri Coinbase so pogoste tarče goljufov. Razlog je preprost – valuta v kakršni koli obliki, vključno s kripto, je točno tisto, kar iščejo kibernetski kriminalci. Ni težko razumeti, zakaj toliko nasprotnikov nenehno išče načine za hiter dobiček.
Ukvarjanje s tako velikim številom nasprotnikov in izzivi kibernetske varnosti je eden od razlogov, zakaj se mi zdi Coinbase tako zanimiv kraj za delo. V tem članku bomo razpravljali o dejanskem kibernetskem napadu in povezanem kibernetskem incidentu, ki smo ga pred kratkim obravnavali pri Coinbase. Čeprav z veseljem povem, da v tem primeru niso bila prizadeta nobena sredstva ali podatki o strankah, se moramo še vedno naučiti dragocenih lekcij. Pri Coinbase verjamemo v preglednost. Verjamem, da z odprtim pogovorom o varnostnih vprašanjih, kot je ta, naredimo celotno skupnost varnejšo in se bolj zavedamo varnosti.
Naša zgodba se začne pozno zvečer v nedeljo, 5. februarja 2023. Več mobilnih telefonov zaposlenih začne opozarjati s sporočili SMS, ki nakazujejo, da se morajo nujno prijaviti prek povezave, ki je na voljo, da prejmejo pomembno sporočilo. Medtem ko večina to nepozvano sporočilo ignorira – en zaposleni v prepričanju, da gre za pomembno in legitimno sporočilo, klikne povezavo ter vnese svoje uporabniško ime in geslo. Po »prijavi« se zaposleni pozove, naj ne upošteva sporočila, in se zahvali za upoštevanje.
Nato je napadalec, opremljen z legitimnim uporabniškim imenom in geslom zaposlenega pri Coinbase, večkrat poskušal pridobiti oddaljeni dostop do Coinbase. Na srečo je bil naš kibernetski nadzor pripravljen. Napadalec ni mogel zagotoviti zahtevanih poverilnic za večfaktorsko avtentikacijo (MFA) – zato mu je bil dostop blokiran. V mnogih primerih bi bilo to konec zgodbe. Toda to ni bil kateri koli napadalec. Verjamemo, da je ta posameznik povezan z zelo vztrajno in prefinjeno napadalno kampanjo, ki od lanskega leta cilja na številne družbe.
Približno 20 minut kasneje je naši zaposleni zazvonil mobilni telefon. Napadalec je trdil, da prihaja iz oddelka za informacijsko tehnologijo (IT) podjetja Coinbase in je potreboval pomoč zaposlenega. Uslužbenec je verjel, da govori z zakonitim članom osebja IT Coinbase, se je prijavil v njihovo delovno postajo in začel slediti navodilom napadalca. Tako se je začelo prerivanje med napadalcem in vse bolj sumljivim uslužbencem. Ko je pogovor napredoval, so bile zahteve vse bolj sumljive. Na srečo niso bila odvzeta nobena sredstva in ni bilo dostopa do nobenih podatkov o strankah ali ogledov, vendar so bili odvzeti nekateri omejeni kontaktni podatki za naše zaposlene, zlasti imena zaposlenih, e-poštni naslovi in nekatere telefonske številke.
Na srečo je bila naša ekipa za odzivanje na incidente računalniške varnosti (CSIRT) na vrhu te težave v prvih 10 minutah po napadu. Naš sistem za upravljanje varnostnih incidentov in dogodkov (SIEM) je naš CSIRT opozoril na nenavadno dejavnost. Kmalu zatem se je eden od naših reševalcev ob incidentu obrnil na žrtev prek našega internega sistema za sporočanje Coinbase in povprašal o nekaterih nenavadnem vedenju in vzorcih uporabe, povezanih z njihovim računom. Ko je zaposleni ugotovil, da je nekaj resno narobe, je prekinil vso komunikacijo z napadalcem.
Naša ekipa CSIRT je nemudoma prekinila vsak dostop žrtvi uslužbenca in sprožila popolno preiskavo. Zaradi našega večplastnega nadzornega okolja ni bilo izgubljenih sredstev in nobenih podatkov o strankah ni bilo ogroženih. Čiščenje je potekalo razmeroma hitro, a vseeno – tukaj se je treba marsikaj naučiti.
Vsakdo je lahko socialno inženirski
Ljudje smo socialna bitja. Želimo se razumeti. Želimo biti del ekipe. Če mislite, da vas dobro izvedena kampanja socialnega inženiringa ne more pretentati – se šalite. V pravih okoliščinah je lahko žrtev skoraj vsak.
Najtežji napad od vseh, ki se mu je težko upreti, je napad socialnega inženiringa neposrednega stika, kot je bil ta, ki ga je utrpel naš zaposleni. Tukaj napadalec neposredno stopi v stik z vami prek družbenih medijev, vašega mobilnega telefona ali še huje, stopi do vašega doma ali poslovnega mesta. Ti napadi niso novi. Pravzaprav se tovrstni napadi zagotovo dogajajo že od zgodnjih dni človeštva. To je priljubljena taktika nasprotnikov povsod – ker deluje.
Torej, kaj naredimo? Kako preprečimo, da bi se to zgodilo?
Rad bi rekel, da je to samo problem usposabljanja. Da morajo biti stranke, zaposleni in ljudje povsod bolje usposobljeni. Delati morajo bolje – v tem bo vedno nekaj resnice. Toda kot strokovnjaki za kibernetsko varnost to ne more biti izgovor za rešitev, ki ga iščemo vsakič, ko se to zgodi. Raziskave znova in znova kažejo, da je mogoče sčasoma preslepiti vse ljudi, ne glede na to, kako pozorni, spretni in pripravljeni so. Vedno moramo delati iz predpostavke, da se bodo zgodile slabe stvari. Nenehno moramo uvajati inovacije, da zmanjšamo učinkovitost teh napadov, hkrati pa si prizadevamo izboljšati splošno izkušnjo naših strank in zaposlenih.
Ali lahko delite kakšne taktike, tehnike in postopke (TTP)?
Zagotovo lahko. Glede na širok obseg podjetij, ki jih cilja ta akter, želimo, da vsi vedo, kar vemo mi. Tukaj je nekaj konkretnih stvari, ki jih priporočamo, da poiščete v dnevnikih podjetja / SIEM:
Vsak spletni promet iz vaših tehnoloških sredstev na naslednje naslove, kjer * predstavlja ime vašega podjetja ali organizacije:
sso-*.com
*-sso.com
prijava.*-sso.com
nadzorna plošča-*.com
*-dashboard.com
Vsi prenosi ali poskusi prenosov naslednjih prikazovalnikov oddaljenega namizja:
AnyDesk (anydesk dot com)
ISL Online (islonline dot com)
Kakršni koli poskusi dostopa do vaše organizacije prek tretjega ponudnika VPN, natančneje Mullvad VPN.
Dohodni telefonski klici / besedilna sporočila naslednjih ponudnikov:
Google Voice
Skype
Vonage/Nexmo
Pasovna širina pika com”
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- O meni
- dostop
- dostopna
- Račun
- računi
- dejavnosti
- dejavnost
- dejansko
- dodano
- naslovi
- po
- Opozorite
- vsi
- vedno
- znesek
- in
- kdo
- približno
- članek
- Sredstva
- povezan
- predpostavka
- napad
- Napadi
- poskus
- Poskusi
- Preverjanje pristnosti
- nazaj
- Slab
- ker
- postane
- začel
- počutje
- Verjemite
- meni
- verjeti
- Boljše
- med
- blokirana
- Blog
- kršitev
- široka
- poslovni
- se imenuje
- poziva
- Akcija
- Kampanje
- primeru
- primeri
- Zagotovo
- izzivi
- okoliščinah
- trdil,
- coinbase
- Coinbase's
- COM
- Komunikacija
- Communications
- skupnost
- Podjetja
- podjetje
- Podjetja
- Kompromis
- Ogroženo
- računalnik
- Računalniška varnost
- POTRJENO
- nenehno
- kontakt
- kontakti
- nadzor
- Nadzor
- Pogovor
- Corporate
- Mandatno
- kripto
- cryptocurrency
- Zamenjava kripto valute
- valuta
- Trenutna
- stranka
- podatki o strankah
- Stranke, ki so
- cyber
- Cyber Attack
- KIBERKRIMINALEC
- cybercriminals
- Cybersecurity
- datum
- dan
- Dnevi
- Oddelek
- zasnovan
- desktop
- Kljub
- Podrobnosti
- drugačen
- težko
- neposredna
- neposredno
- razpravlja
- DOT
- prenosov
- Zgodnje
- učinkovitost
- prizadevanja
- Zaposlen
- Zaposleni
- Inženiring
- Vstopi
- okolje
- opremljena
- Tudi
- Event
- sčasoma
- Tudi vsak
- vsi
- točno
- Izmenjava
- izkušnje
- izkušen
- Strokovnjaki
- izpostavljena
- Priljubljeni
- februar
- Nekaj
- Najdi
- Firm
- prva
- sledi
- po
- obrazec
- Na srečo
- goljufi
- pogosto
- iz
- polno
- Skladi
- izgubljena sredstva
- Gain
- pridobivanje
- dobili
- Daj
- dana
- kramp
- hekerji
- se zgodi
- se je zgodilo
- Zgodi se
- se zgodi
- srečna
- Trdi
- slišati
- pomoč
- tukaj
- zelo
- Domov
- Kako
- Vendar
- HTTPS
- Človeštvo
- identificirati
- takoj
- prizadeti
- Pomembno
- izboljšanje
- in
- nesreča
- odziv na incident
- Vključno
- vedno
- označuje
- individualna
- Podatki
- informacijska tehnologija
- na začetku
- inoviranje
- Navodila
- Zanimivo
- notranji
- preiskava
- vprašanje
- Vprašanja
- IT
- Vedite
- pristanek
- Ciljna stran
- velika
- Zadnja
- Lansko leto
- Pozen
- Zadnji
- začela
- slojevito
- vodi
- naučili
- Spoznanja
- Limited
- LINK
- Povezave
- Poglej
- si
- off
- Sklop
- je
- Večina
- Znamka
- upravljanje
- več
- Matter
- mediji
- član
- Sporočilo
- sporočil
- sporočanje
- MZZ
- min
- Mobilni
- mobilni telefon
- Mobilni telefoni
- več
- Najbolj
- več
- večfaktorna avtentikacija
- Ime
- Imena
- skoraj
- Nimate
- potrebna
- Novo
- Naslednja
- Številka
- številke
- ONE
- na spletu
- Organizacija
- Splošni
- del
- zabava
- Geslo
- vzorci
- ljudje
- Ribarjenje
- lažni napad
- telefon
- telefonski klici
- telefoni
- Kraj
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- objavljene
- pripravljeni
- problem
- Postopki
- strokovnjaki
- Dobiček
- napredovala
- zaščito
- zaščiteni
- zagotavljajo
- če
- Ponudnik
- ponudniki
- Hitri
- dosežejo
- dosegel
- Preberi
- pripravljen
- uresničevanje
- Razlog
- Razlogi
- prejeti
- nedavno
- Pred kratkim
- priznana
- Priporočamo
- o
- relativno
- ostanki
- daljinsko
- Remote Access
- ponovi
- Prijavljeno
- predstavlja
- zahteva
- obvezna
- Raziskave
- Odgovor
- odgovorna
- varnejši
- Je dejal
- Prevara
- Obseg
- zavarovanje
- varnost
- pošiljanja
- občutljiva
- več
- Delite s prijatelji, znanci, družino in partnerji :-)
- Delnice
- Kmalu
- Razstave
- pomemben
- podobnosti
- Enostavno
- saj
- spreten
- SMS
- So
- socialna
- Socialni inženiring
- družbeni mediji
- Rešitev
- nekaj
- Nekaj
- prefinjeno
- gledano
- specifična
- posebej
- Osebje
- Začetek
- začne
- Izjava
- Koraki
- Še vedno
- ukradel
- ukradeno
- stop
- Zgodba
- taka
- prekinjena
- sumljiv
- sistem
- sistemi
- taktike
- pogovor
- ciljno
- ciljanje
- Cilji
- skupina
- tehnike
- Tehnologija
- deset
- O
- Coinbase
- njihove
- sami
- stvari
- tretja
- Grožnja
- skozi
- čas
- do
- vrh
- Prometa
- usposobljeni
- usposabljanje
- Preglednost
- pod
- razumeli
- nenavadno
- Uporaba
- dragocene
- preko
- Žrtva
- gledalcev
- VPN
- načini
- web
- Spletni promet
- Spletna stran
- Kaj
- ki
- medtem
- bo
- v
- delo
- deluje
- delovno mesto
- svetu
- bi
- Napačen
- leto
- Vaša rutina za
- sami
- zefirnet