Coinbase стала останньою жертвою кібератаки, під час якої невідомий суб’єкт загрози доклав значних зусиль, щоб зламати внутрішні системи однієї з провідних у світі платформ обміну криптовалюти за допомогою фішингової атаки.
У блозі, опублікованому на своєму веб-сайті, Coinbase підтвердила, що дані з нашого корпоративного каталогу були розкриті після того, як кібер-зловмисникам вдалося зламати її систему. У заяві Coinbase йдеться:
«Coinbase нещодавно зазнала кібер-атаки на одного з її співробітників. На щастя, кіберконтроль Coinbase запобіг зловмиснику отримати прямий доступ до системи та запобігти будь-якій втраті коштів або компрометації інформації про клієнтів. Лише обмежена кількість даних із нашого корпоративного каталогу була розкрита».
Незважаючи на те, що Coinbase заявила, що кошти клієнтів, а також дані клієнтів захищені, компанія з кібербезпеки Group-IB додала, що зловмисник викрав майже 1,000 корпоративних облікових записів, надсилаючи фішингові посилання через SMS співробітникам компанії.
Спочатку кіберзлочинець націлився на співробітників Coinbase, надіславши п’ять фішингових SMS-повідомлень із закликом терміново увійти в облікові записи своєї компанії та прочитати важливе повідомлення. Повідомлення містили посилання, яке імітувало корпоративну сторінку входу Coinbase, але насправді це була шкідлива цільова сторінка, призначена для викрадення конфіденційних даних.
Хоча більшість співробітників не були обдурені фішингом, один співробітник попався на аферу і надав хакерам свої облікові дані для входу. Однак обліковий запис був захищений багатофакторною аутентифікацією (MFA), яка обмежувала дії хакерів. Проте вони не здалися і зателефонували потерпілому, представившись IT-відділом компанії. Вони наказали жертві увійти на робочу станцію та виконати різні дії.
Coinbase повідомила, що групі реагування на інциденти комп’ютерної безпеки (CSIRT) знадобилося приблизно десять хвилин, щоб ідентифікувати атаку та зв’язатися з жертвою щодо підозрілої активності. Постраждалий миттєво зрозумів, що його шахраюють, і припинив спілкування зі зловмисником.
Поточна кампанія схожа на минулорічні фішингові кампанії Scatter Swine/0ktapus, які, як виявили кіберексперти з Group-IB, призвели до майже 1,000 викрадених корпоративних логінів доступу через фішингові SMS-повідомлення. Незважаючи на це, відповідальна за нещодавню атаку залишається невідомою.
Нижче Coinbase пояснені як стався напад.
«Tl;dr – Coinbase нещодавно зазнала кібер-атаки на одного з її співробітників. На щастя, кіберконтроль Coinbase запобіг зловмиснику отримати прямий доступ до системи та запобігти будь-якій втраті коштів або компрометації інформації про клієнтів. Було відкрито лише обмежену кількість даних із нашого корпоративного каталогу. Coinbase вірить у прозорість, і ми хочемо, щоб наші співробітники, клієнти та спільнота почули подробиці цієї атаки та поділилися тактиками, техніками та процедурами (TTP), які використовує цей противник, щоб кожен міг краще захистити себе.
Клієнти та співробітники Coinbase часто стають об’єктами шахраїв. Причина проста: валюта в будь-якій формі, включно з криптовалютою, є саме тим, що шукають кіберзлочинці. Неважко зрозуміти, чому так багато противників постійно шукають способи швидкого отримання прибутку.
Робота з такою великою кількістю супротивників і викликів кібербезпеці є однією з причин, чому я вважаю Coinbase таким цікавим місцем для роботи. У цій статті ми обговоримо фактичну кібератаку та пов’язаний з нею кіберінцидент, з якими ми нещодавно мали справу на Coinbase. Хоча я дуже радий сказати, що в цьому випадку жодні кошти клієнтів або інформація про них не постраждали, є ще цінні уроки, які потрібно вивчити. У Coinbase ми віримо в прозорість. Я вважаю, що, відкрито говорячи про такі проблеми безпеки, ми робимо всю спільноту безпечнішою та усвідомлюємо її.
Наша історія починається пізно ввечері в неділю, 5 лютого 2023 року. Мобільні телефони кількох співробітників починають сповіщати SMS-повідомленнями про те, що їм потрібно терміново увійти за посиланням, щоб отримати важливе повідомлення. Хоча більшість ігнорує це повідомлення без підказки, один співробітник, вважаючи, що це важливе та законне повідомлення, натискає посилання та вводить своє ім’я користувача та пароль. Після «входу» працівнику пропонується проігнорувати повідомлення та дякується за виконання.
Далі зловмисник, маючи законне ім’я користувача та пароль співробітника Coinbase, неодноразово намагався отримати віддалений доступ до Coinbase. На щастя, наші засоби кіберконтролю були готові. Зловмисник не зміг надати необхідні облікові дані багатофакторної автентифікації (MFA), тому йому було заблоковано доступ. У багатьох випадках це був би кінець історії. Але це був не просто нападник. Ми вважаємо, що ця особа пов’язана з надзвичайно наполегливою та складною кампанією нападів, яка з минулого року була спрямована на десятки компаній.
Приблизно через 20 хвилин у нашого співробітника задзвонив мобільний телефон. Зловмисник стверджував, що він з корпоративних інформаційних технологій (ІТ) Coinbase, і їм потрібна допомога співробітника. Вважаючи, що вони розмовляють із законним співробітником ІТ-спеціалісту Coinbase, працівник увійшов на робочу станцію та почав виконувати вказівки зловмисника. Це почало туди-сюди між зловмисником і підозрілим працівником. У міру розмови запити ставали все більш підозрілими. На щастя, жодних коштів не було вилучено, а також жодної інформації про клієнтів не було отримано або переглянуто, але деяка обмежена контактна інформація наших працівників була взята, зокрема імена працівників, адреси електронної пошти та деякі номери телефонів.
На щастя, наша команда реагування на інциденти комп’ютерної безпеки (CSIRT) впоралася з цією проблемою протягом перших 10 хвилин після атаки. Наш CSIRT отримав сповіщення про незвичайну діяльність від нашої системи управління інцидентами та подіями безпеки (SIEM). Невдовзі після цього один із наших служб реагування зв’язався з жертвою через нашу внутрішню систему обміну повідомленнями Coinbase і запитав про деякі незвичайні моделі поведінки та використання, пов’язані з їхнім обліковим записом. Зрозумівши, що щось серйозно не так, співробітник припинив будь-яке спілкування з нападником.
Наша команда CSIRT негайно призупинила будь-який доступ для потерпілого працівника та розпочала повне розслідування. Завдяки нашому багаторівневому середовищу контролю не було втрачено коштів і жодна інформація про клієнтів не була скомпрометована. Прибирання пройшло відносно швидко, але все одно – тут потрібно вивчити багато уроків.
Соціальною інженерією може стати кожен
Люди - істоти соціальні. Ми хочемо ладити. Ми хочемо бути частиною команди. Якщо ви думаєте, що вас неможливо обдурити добре проведеною кампанією соціальної інженерії – ви обманюєте себе. За сприятливих обставин майже кожен може стати жертвою.
Найважча атака з усіх, якій протистояти, — це атака соціальної інженерії прямого контакту, подібна до тієї, яку зазнав тут наш співробітник. Тут зловмисник безпосередньо зв’язується з вами через соціальні мережі, ваш мобільний телефон або, що ще гірше, підходить до вашого будинку чи офісу. Ці напади не нові. Фактично, подібні напади відбувалися з перших днів людства. Це улюблена тактика ворогів повсюди, тому що вона працює.
Так що ж нам робити? Як нам запобігти цьому?
Я хотів би сказати, що це лише проблема навчання. Що клієнти, працівники та люди в усьому світі потребують кращого навчання. Їм потрібно працювати краще – у цьому завжди буде частка правди. Але, як професіонали з кібербезпеки, це не може бути виправданням, яке ми шукаємо кожного разу, коли це трапляється. Дослідження знову і знову показують, що зрештою всіх людей можна обдурити, незалежно від того, наскільки вони уважні, вправні та підготовлені. Ми завжди повинні працювати, виходячи з припущення, що погане станеться. Нам потрібно постійно впроваджувати інновації, щоб зменшити ефективність цих атак, а також прагнути покращити загальний досвід наших клієнтів і співробітників.
Чи можете ви поділитися якимись тактиками, техніками та процедурами (TTP)?
Ми точно можемо. Враховуючи широкий спектр компаній, на які націлений цей актор, ми хочемо, щоб усі знали те, що знаємо ми. Ось кілька конкретних речей, які ми рекомендуємо вам шукати у своїх корпоративних журналах / SIEM:
Будь-який веб-трафік із ваших технологічних активів на такі адреси, де * означає назву вашої компанії чи організації:
sso-*.com
*-sso.com
логін.*-sso.com
інформаційна панель-*.com
*-dashboard.com
Будь-які завантаження або спроби завантажень таких засобів перегляду віддаленого робочого столу:
AnyDesk (anydesk точка com)
ISL Online (islonline dot com)
Будь-які спроби отримати доступ до вашої організації від стороннього постачальника VPN, зокрема Mullvad VPN.
Вхідні телефонні дзвінки / текстові повідомлення від наступних операторів:
Google Voice
Skype
Vonage/Nexmo
Пропускна здатність точка com"
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- МЕНЮ
- доступ
- доступний
- рахунки
- Рахунки
- дії
- діяльність
- насправді
- доданий
- адреси
- після
- Оповіщення
- ВСІ
- завжди
- кількість
- та
- будь
- приблизно
- стаття
- Активи
- асоційований
- припущення
- атака
- нападки
- спробував
- Спроби
- Authentication
- назад
- поганий
- оскільки
- стає
- почалася
- буття
- Вірити
- вважає,
- віруючи
- Краще
- між
- блокований
- Блог
- порушення
- широкий
- бізнес
- званий
- Виклики
- Кампанія
- Кампанії
- випадок
- випадків
- звичайно
- проблеми
- обставин
- стверджував,
- coinbase
- Coinbase's
- COM
- Комунікація
- зв'язку
- співтовариство
- Компанії
- компанія
- Компанії
- компроміс
- Компрометація
- комп'ютер
- Комп'ютерна безпека
- Підтверджено
- постійно
- контакт
- Наші контакти
- контроль
- управління
- Розмова
- Корпоративний
- Повноваження
- крипто
- криптовалюта
- Обмін криптовалют
- Валюта
- Поточний
- клієнт
- дані про клієнтів
- Клієнти
- кібер-
- атака Cyber
- КІБЕРЗЛОЧИНЦІВ
- кіберзлочинці
- Кібербезпека
- дані
- день
- Днів
- відділ
- призначений
- робочий стіл
- Незважаючи на
- деталі
- різний
- важкий
- прямий
- безпосередньо
- обговорювати
- DOT
- завантажень
- електронна пошта
- Рано
- ефективність
- зусилля
- Співробітник
- співробітників
- Машинобудування
- Входить
- Навколишнє середовище
- обладнаний
- Навіть
- Event
- врешті-решт
- Кожен
- все
- точно
- обмін
- досвід
- досвідчений
- experts
- піддаватися
- Улюблений
- лютого
- кілька
- знайти
- Фірма
- Перший
- стежити
- після
- форма
- На щастя
- шахраї
- частий
- від
- Повний
- засоби
- втрачених коштів
- Отримувати
- набирає
- отримати
- Давати
- даний
- зламаний
- хакери
- траплятися
- сталося
- Відбувається
- відбувається
- щасливий
- Жорсткий
- чути
- допомога
- тут
- дуже
- Головна
- Як
- Однак
- HTTPS
- Людство
- ідентифікувати
- негайно
- вплив
- важливо
- удосконалювати
- in
- інцидент
- реагування на інциденти
- У тому числі
- все більше і більше
- вказуючи
- індивідуальний
- інформація
- інформаційна технологія
- спочатку
- інноваційний
- інструкції
- цікавий
- внутрішній
- дослідження
- питання
- питання
- IT
- Знати
- посадка
- цільової сторінки
- великий
- останній
- Минулого року
- Пізно
- останній
- запущений
- шаруватий
- провідний
- вчений
- Уроки
- обмеженою
- LINK
- зв'язку
- подивитися
- шукати
- від
- серія
- made
- Більшість
- зробити
- управління
- багато
- Матерія
- Медіа
- член
- повідомлення
- повідомлення
- обмін повідомленнями
- МЗС
- протокол
- Mobile
- мобільний телефон
- мобільні телефони
- більше
- найбільш
- багато
- багатофакторна аутентифікація
- ім'я
- Імена
- майже
- Необхідність
- необхідний
- Нові
- наступний
- номер
- номера
- ONE
- онлайн
- організація
- загальний
- частина
- партія
- Пароль
- моделі
- Люди
- phishing
- фішинг-атака
- телефон
- телефонні дзвінки
- телефони
- місце
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- розміщені
- підготовлений
- Проблема
- Процедури
- професіонали
- Прибуток
- прогресував
- захист
- захищений
- забезпечувати
- за умови
- Постачальник
- провайдери
- Швидко
- досягати
- досяг
- Читати
- готовий
- розуміючи,
- причина
- Причини
- отримати
- останній
- нещодавно
- визнаний
- рекомендувати
- про
- щодо
- залишається
- віддалений
- Віддалений доступ
- повторний
- Повідомляється
- представляє
- запитів
- вимагається
- дослідження
- відповідь
- відповідальний
- безпечніше
- Зазначений
- Шахрайство
- сфера
- безпечний
- безпеку
- відправка
- чутливий
- кілька
- Поділитись
- акції
- Незабаром
- Шоу
- значний
- схожість
- простий
- з
- кваліфікований
- SMS
- So
- соціальна
- Соціальна інженерія
- соціальні медіа
- рішення
- деякі
- що в сім'ї щось
- складний
- розмова
- конкретний
- конкретно
- Персонал
- старт
- починається
- Заява
- заходи
- Як і раніше
- вкрав
- вкрали
- Стоп
- Історія
- такі
- підвісний
- підозрілі
- система
- Systems
- тактика
- говорити
- цільове
- націлювання
- цілі
- команда
- методи
- Технологія
- десять
- Команда
- Coinbase
- їх
- самі
- речі
- третій
- загроза
- через
- час
- до
- топ
- трафік
- навчений
- Навчання
- прозорість
- при
- розуміти
- незвичайний
- Використання
- Цінний
- через
- Жертва
- глядачів
- VPN
- способи
- Web
- Веб-трафік
- веб-сайт
- Що
- який
- в той час як
- волі
- в
- Work
- працює
- робоча станція
- світі
- б
- Неправильно
- рік
- вашу
- себе
- зефірнет