Coinbase-ansatte ble målrettet i et cybersikkerhetsangrep 5. februar som involverte SMS-svindel og etterligning av IT-ansatte, ifølge til en fersk rapport fra selskapets ingeniørteam. Ingen kunders midler eller informasjon ble påvirket, sa kryptobørsen.
I følge rapporten mottok flere Coinbase-ansatte på en sen søndag SMS-meldinger som krever at de raskt logger på via lenken for å få tilgang til en viktig melding. I god tro fulgte en ansatt utnytterens instruksjoner:
"Mens flertallet ignorerer denne uoppfordrede meldingen - en ansatt, som tror at det er en viktig og legitim melding, klikker på lenken og skriver inn brukernavn og passord. Etter å ha «logget inn», blir den ansatte bedt om å se bort fra meldingen og takkes for å ha fulgt.»
Gjerningsmannen gjorde deretter gjentatte forsøk på å få ekstern tilgang til Coinbases interne systemer med den ansattes brukernavn og passord, men klarte ikke å gå gjennom sikkerhetstiltaket Multi-Factor Authentication (MFA).
Etter å ha unnlatt å autentisere og bli automatisk blokkert, tok utnytteren kontakt med den ansatte på telefon. I følge rapporten hevdet angriperen å være Coinbases IT-avdeling og ba den ansatte om hjelp:
"Den ansatte trodde at de snakket med en legitim Coinbase IT-medarbeider, logget på arbeidsstasjonen og begynte å følge angriperens instruksjoner. Det startet en frem og tilbake mellom angriperen og en stadig mer mistenkelig ansatt. Etter hvert som samtalen gikk, ble forespørslene mer og mer mistenkelige.»
Coinbase's Computer Security Incident Response Team (CSIRT) ble varslet om en uvanlig aktivitet av SIEM-systemet (Security Incident and Event Management). En redningsmann nådde ut til offeret via selskapets interne meldingssystem som svar på den atypiske oppførselen.
"Den ansatte skjønte at noe var alvorlig galt, avsluttet all kommunikasjon med angriperen," heter det i rapporten. I følge Coinbase beskyttet det lagdelte kontrollmiljøet kundemidler og informasjon, selv om noe av personellinformasjonen hadde blitt kompromittert.
har Selskapet mener angrepet er assosiert med en sofistikert angrepskampanje som har rettet seg mot mange selskaper siden i fjor, spesielt i USA. Cybersikkerhetsselskapet Group-IB rapportert i august lignende phishing-angrep på ansatte i Twilio og Cloudflare som en del av en massiv kampanje som endte i at 9,931 130 kontoer til over XNUMX organisasjoner ble kompromittert.
Coinbases team bemerket også at deres kunder og ansatte er hyppige mål for svindlere, og løsningen ligger i å tilby passende opplæring:
«Forskning viser igjen og igjen at alle mennesker kan bli lurt til slutt, uansett hvor våkne, dyktige og forberedte de er. Vi må alltid jobbe ut fra antakelsen om at dårlige ting vil skje. Vi må hele tiden innovere for å sløve effektiviteten til disse angrepene, samtidig som vi streber etter å forbedre den generelle opplevelsen til våre kunder og ansatte.»
Kilde: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees