Coinbase 成为网络攻击的最新受害者,在该攻击中,身份不明的威胁行为者做出重大努力,通过网络钓鱼攻击破坏了世界领先的加密货币交易平台之一的内部系统。
在其网站上发布的博客中,Coinbase 确认在网络攻击者成功破坏其系统后,我们公司目录中的数据被泄露。 Coinbase 在一份声明中说:
“Coinbase 最近经历了一次针对其一名员工的网络安全攻击。 幸运的是,Coinbase 的网络控制阻止了攻击者获得直接系统访问权限,并防止了任何资金损失或客户信息泄露。 我们公司目录中只有有限数量的数据被暴露。”
尽管 Coinbase 表示客户资金和客户数据是安全的,但网络安全公司 Group-IB 补充说,威胁者通过短信向公司员工发送网络钓鱼链接,窃取了近 1,000 个公司访问登录信息。
网络犯罪分子最初针对 Coinbase 员工发送了 XNUMX 条网络钓鱼短信,敦促他们紧急登录公司账户并阅读重要信息。 这些消息包含一个模仿 Coinbase 公司登录页面的链接,但它实际上是一个旨在窃取敏感数据的恶意登录页面。
虽然大多数员工没有被网络钓鱼所愚弄,但一名员工上当受骗并向黑客提供了他们的登录凭据。 但是,该帐户受到多因素身份验证 (MFA) 的保护,这限制了黑客的行动。 尽管如此,他们还是不死心,假装是公司的IT部门,给受害人打了电话。 他们指示受害者登录工作站并执行不同的步骤。
Coinbase 报告说,它的 CSIRT(计算机安全事件响应小组)花了大约十分钟的时间来识别攻击并就可疑活动联系受害者。 受害人立即意识到他们被骗了,并终止了与攻击者的联系。
当前的活动与去年的 Scatter Swine/0ktapus 网络钓鱼活动有相似之处,来自 Group-IB 的网络专家透露,通过网络钓鱼短信导致近 1,000 次企业访问登录被盗。 尽管如此,最近这次袭击的责任方仍然未知。
下面,Coinbase 解释 袭击是如何发生的。
“Tl;dr – Coinbase 最近经历了一次针对其一名员工的网络安全攻击。 幸运的是,Coinbase 的网络控制阻止了攻击者获得直接系统访问权限,并防止了任何资金损失或客户信息泄露。 我们公司目录中只有有限数量的数据被暴露。 Coinbase 相信透明度,我们希望我们的员工、客户和社区了解这次攻击的细节,并分享这个对手使用的战术、技术和程序 (TTP),以便每个人都能更好地保护自己。
Coinbase 客户和员工经常成为欺诈者的目标。 原因很简单——任何形式的货币,包括加密货币,正是网络犯罪分子所追求的目标。 不难理解为什么这么多对手不断寻找快速获利的方法。
处理如此多的对手和网络安全挑战是我发现 Coinbase 是一个如此有趣的工作场所的原因之一。 在本文中,我们将讨论我们最近在 Coinbase 处理的实际网络攻击和相关网络事件。 虽然我很高兴地说,在这种情况下,没有客户资金或客户信息受到影响,但仍有宝贵的经验教训需要吸取。 在 Coinbase,我们相信透明度。 通过公开讨论这样的安全问题,我相信我们可以让整个社区变得更安全,并提高安全意识。
我们的故事开始于 5 年 2023 月 XNUMX 日星期日的深夜。几位员工手机开始提示短信,提示他们需要通过提供的链接紧急登录以接收重要消息。 虽然大多数人忽略了这条自发的消息——一名员工认为这是一条重要且合法的消息,点击了链接并输入了他们的用户名和密码。 “登录”后,系统会提示员工忽略该消息并感谢遵守。
接下来发生的事情是,攻击者配备了合法的 Coinbase 员工用户名和密码,反复尝试远程访问 Coinbase。 幸运的是,我们的网络控制已经准备就绪。 攻击者无法提供所需的多因素身份验证 (MFA) 凭据,因此无法获得访问权限。 在许多情况下,这将是故事的结局。 但这不仅仅是任何攻击者。 我们认为此人与自去年以来一直以数十家公司为目标的高度持久和复杂的攻击活动有关。
大约 20 分钟后,我们员工的手机响了。 攻击者自称来自 Coinbase 公司信息技术 (IT),他们需要该员工的帮助。 该员工认为他们正在与合法的 Coinbase IT 员工交谈,因此登录到他们的工作站并开始按照攻击者的指示进行操作。 这开始了攻击者和一名越来越可疑的员工之间的来回。 随着谈话的进行,这些要求变得越来越可疑。 幸运的是,没有资金被盗用,也没有客户信息被访问或查看,但我们员工的一些有限联系信息被盗用,特别是员工姓名、电子邮件地址和一些电话号码。
幸运的是,我们的计算机安全事件响应小组 (CSIRT) 在攻击发生后的前 10 分钟内就解决了这个问题。 我们的 CSIRT 收到安全事件和事件管理 (SIEM) 系统的异常活动警报。 此后不久,我们的一名事件响应人员通过我们的内部 Coinbase 消息系统联系了受害者,询问与他们的账户相关的一些异常行为和使用模式。 意识到事情严重错误后,该员工终止了与攻击者的所有通信。
我们的 CSIRT 团队立即暂停受害员工的所有访问权限并展开全面调查。 由于我们的分层控制环境,没有资金损失,也没有客户信息被泄露。 清理工作相对较快,但仍然——这里有很多教训要吸取。
任何人都可以成为社会工程学
人是社会性动物。 我们想和睦相处。 我们想成为团队的一员。 如果您认为自己不会被执行良好的社会工程活动所愚弄——那您就是在自欺欺人。 在适当的情况下,几乎任何人都可能成为受害者。
最难抵御的攻击是直接接触社会工程攻击,就像我们的员工在这里遭受的攻击一样。 这是攻击者通过社交媒体、您的手机直接联系您的地方,甚至更糟的是,他会走到您的家或营业地点。 这些攻击并不新鲜。 事实上,自人类早期以来,这些类型的攻击肯定已经发生。 这是各地对手最喜欢的策略——因为它有效。
那么我们该怎么办? 我们如何阻止这种情况发生?
我想说这只是一个训练问题。 客户、员工和各地的人们都需要接受更好的培训。 他们需要做得更好——这总有一些道理。 但作为网络安全专业人士,这不能成为我们每次发生这种情况时都能找到的解决方案借口。 研究一再表明,所有人最终都可能被愚弄,无论他们多么机敏、熟练和准备。 我们必须始终假设坏事会发生。 我们需要不断创新以削弱这些攻击的有效性,同时努力改善客户和员工的整体体验。
你能分享任何战术、技术和程序 (TTP) 吗?
我们当然可以。 鉴于该演员针对的公司范围广泛,我们希望每个人都知道我们所知道的。 以下是我们建议您在公司日志/SIEM 中查找的一些具体内容:
从您的技术资产到以下地址的任何网络流量,其中 * 代表您的公司或组织名称:
sso-*.com
*-sso.com
登录.*-sso.com
仪表板-*.com
*-dashboard.com
以下远程桌面查看器的任何下载或尝试下载:
AnyDesk (anydesk.com)
ISL 在线 (islonline.com)
从第三方 VPN 提供商(特别是 Mullvad VPN)访问您的组织的任何尝试。
来自以下提供商的来电/短信:
谷歌语音
Skype
Vonage/Nexmo
带宽.com”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
- 000
- 1
- 10
- 2023
- 9
- a
- 关于
- ACCESS
- 访问
- 账号管理
- 账户
- 行动
- 活动
- 通
- 添加
- 地址
- 后
- 警惕
- 所有类型
- 时刻
- 量
- 和
- 任何人
- 约
- 刊文
- 办公室文员:
- 相关
- 假设
- 攻击
- 攻击
- 尝试
- 尝试
- 认证
- 背部
- 坏
- 因为
- 成为
- 开始
- 作为
- 相信
- 相信
- 相信
- 更好
- 之间
- 封锁
- 博客
- 违反
- 广阔
- 商业
- 被称为
- 呼叫
- 营销活动
- 活动
- 案件
- 例
- 当然
- 挑战
- 情况
- 声称
- coinbase
- Coinbase的
- COM的
- 沟通
- 通信
- 社体的一部分
- 公司
- 公司
- 公司的
- 妥协
- 妥协
- 一台
- 计算机安全
- CONFIRMED
- 经常
- CONTACT
- 联系
- 控制
- 控制
- 谈话
- 公司
- 资历
- 加密
- cryptocurrency
- 加密货币兑换
- 货币
- 电流
- 顾客
- 客户数据
- 合作伙伴
- 网络
- 网络攻击
- 网络犯罪
- 网络罪犯
- 网络安全
- data
- 天
- 一年中的
- 问题类型
- 设计
- 通过电脑捐款
- 尽管
- 详情
- 不同
- 难
- 直接
- 直接
- 讨论
- DOT
- 下载
- 早
- 效用
- 工作的影响。
- 员工
- 员工
- 工程师
- 进入
- 环境
- 配备
- 甚至
- 活动
- 终于
- 所有的
- 每个人
- 究竟
- 交换
- 体验
- 有经验
- 专家
- 裸露
- 喜爱
- 二月
- 少数
- 找到最适合您的地方
- 公司
- (名字)
- 遵循
- 以下
- 申请
- 幸好
- 骗子
- 频繁
- 止
- ,
- 资金
- 资金损失
- Gain增益
- 获得
- 得到
- 给
- 特定
- 至少从2010年开始,
- 黑客
- 发生
- 发生
- 事件
- 发生
- 快乐
- 硬
- 听
- 帮助
- 相关信息
- 高度
- 主页
- 创新中心
- 但是
- HTTPS
- 人类
- 鉴定
- 立即
- 影响
- 重要
- 改善
- in
- 事件
- 事件响应
- 包含
- 日益
- 说明
- 个人
- 信息
- 信息技术
- 原来
- 创新
- 说明
- 有趣
- 内部
- 调查
- 问题
- 问题
- IT
- 知道
- 着陆
- 着陆页
- 大
- (姓氏)
- 去年
- 晚了
- 最新
- 推出
- 分层
- 领导
- 知道
- 教训
- 有限
- 友情链接
- 链接
- 看
- 寻找
- 离
- 占地
- 制成
- 多数
- 使
- 颠覆性技术
- 许多
- 问题
- 媒体
- 会员
- 的话
- 条未读消息
- 消息
- 外交部
- 分钟
- 联络号码
- 移动电话
- 手机
- 更多
- 最先进的
- 多
- 多因素认证
- 姓名
- 名称
- 几乎
- 需求
- 打印车票
- 全新
- 下页
- 数
- 数字
- 一
- 在线
- 组织
- 最划算
- 部分
- 党
- 密码
- 模式
- 员工
- 钓鱼
- 网络钓鱼攻击
- 电话
- 电话
- 手机
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 发布
- 准备
- 市场问题
- 程序
- 专业人士
- 利润
- 进步了
- 保护
- 保护
- 提供
- 提供
- 提供者
- 供应商
- 快速
- 达到
- 达到
- 阅读
- 准备
- 实现
- 原因
- 原因
- 接收
- 最近
- 最近
- 确认
- 建议
- 关于
- 相对
- 遗迹
- 远程
- 通过远程访问
- 重复
- 报道
- 代表
- 要求
- 必须
- 研究
- 响应
- 提供品牌战略规划
- 更安全
- 说
- 诈骗
- 范围
- 安全
- 保安
- 发送
- 敏感
- 几个
- Share
- 分享
- 不久
- 作品
- 显著
- 相似之处
- 简易
- 自
- 技能的
- 短信
- So
- 社会
- 社会工程学
- 社会化媒体
- 方案,
- 一些
- 东西
- 极致
- 发言
- 具体的
- 特别是
- 团队
- 开始
- 启动
- 个人陈述
- 步骤
- 仍
- 偷了
- 被盗
- Stop 停止
- 故事
- 这样
- 暂停
- 可疑
- 系统
- 产品
- 策略
- 说
- 针对
- 瞄准
- 目标
- 团队
- 技术
- 专业技术
- 十
- Coinbase
- 其
- 他们自己
- 事
- 第三
- 威胁
- 通过
- 次
- 至
- 最佳
- 交通
- 熟练
- 产品培训
- 用户评论透明
- 下
- 理解
- 异常
- 用法
- 有价值
- 通过
- 受害者
- 观众
- VPN
- 方法
- 卷筒纸
- 网络流量
- 您的网站
- 什么是
- 这
- 而
- 将
- 中
- 工作
- 合作
- 工作站
- 世界
- 将
- 错误
- 年
- 您一站式解决方案
- 你自己
- 和风网