A Coinbase alkalmazottai február 5-én egy kiberbiztonsági támadás célpontjává váltak, SMS-csalásokkal és IT-személyzetek kilétével, szerint a cég mérnöki csapatának legutóbbi jelentésére. A kriptotőzsde közölte, hogy az ügyfelek pénzeszközeit vagy adatait nem érinti.
A jelentés szerint egy vasárnap késői napon a Coinbase több alkalmazottja SMS-t kapott, amelyben felszólították őket, hogy sürgősen jelentkezzenek be egy fontos üzenet eléréséhez. Az egyik alkalmazott jóhiszeműen eljárva követte a kizsákmányoló utasításait:
„Míg a többség figyelmen kívül hagyja ezt a kéretlen üzenetet, az egyik alkalmazott, aki azt hiszi, hogy ez egy fontos és jogos üzenet, rákattint a hivatkozásra, és beírja felhasználónevét és jelszavát. A „bejelentkezést” követően a munkavállaló felkéri, hogy figyelmen kívül hagyja az üzenetet, és megköszöni, hogy eleget tett.”
Az elkövető ezután ismételten megpróbált távolról hozzáférni a Coinbase belső rendszereihez az alkalmazott felhasználónevével és jelszavával, de nem tudott átjutni a többtényezős hitelesítés (MFA) biztonsági intézkedésén.
A kizsákmányoló a hitelesítés sikertelensége és automatikus letiltása után telefonon felvette a kapcsolatot az alkalmazottal. A jelentés szerint a támadó azt állította, hogy a Coinbase informatikai osztálya, és az alkalmazotttól kért segítséget:
„Azt hitte, hogy a Coinbase informatikai munkatársával beszélnek, az alkalmazott bejelentkezett a munkaállomásukra, és követni kezdte a támadó utasításait. Ezzel elkezdődött az oda-vissza csata a támadó és egy egyre gyanakvóbb alkalmazott között. A beszélgetés előrehaladtával a kérések egyre gyanúsabbak lettek.”
A Coinbase Computer Security Incident Response Team (CSIRT) szokatlan tevékenységről riasztotta a biztonsági incidens- és eseménykezelő (SIEM) rendszert. Az atipikus viselkedésre reagálva egy incidensre válaszoló kereste meg az áldozatot a vállalat belső üzenetküldő rendszerén keresztül.
„Az alkalmazott felismerve, hogy valami komoly baj van, megszakított minden kommunikációt a támadóval” – áll a jelentésben. A Coinbase szerint a többrétegű vezérlőkörnyezet megvédte az ügyfelek pénzét és adatait, annak ellenére, hogy a személyzeti információinak egy része veszélybe került.
has A vállalat úgy véli, hogy a támadás egy kifinomult támadási kampányhoz kapcsolódik, amely tavaly óta sok vállalatot céloz meg, különösen az Egyesült Államokban. Kiberbiztonsági vállalat Group-IB jelentett augusztusban hasonló adathalász támadások történtek a Twilio és a Cloudflare alkalmazottai ellen egy hatalmas kampány részeként, amely több mint 9,931 szervezet 130 fiókjának feltörésével végződött.
A Coinbase csapata azt is megjegyezte, hogy ügyfelei és alkalmazottai gyakori célpontjai a csalóknak, és a megoldás a megfelelő képzésben rejlik:
„A kutatások újra és újra megmutatják, hogy végül minden embert meg lehet hülyíteni, függetlenül attól, hogy mennyire éber, képzett és felkészült. Mindig abból a feltételezésből kell dolgoznunk, hogy rossz dolgok fognak történni. Folyamatosan újításokat kell végeznünk, hogy csökkentsük e támadások hatékonyságát, miközben ügyfeleink és alkalmazottaink általános élményének javítására is törekszünk.”
Forrás: https://cointelegraph.com/news/coinbase-discloses-recent-cyberrattack-targeting-employees