Angajații Coinbase au fost vizați într-un atac de securitate cibernetică pe 5 februarie, care implică escrocherii prin SMS și uzurparea identității personalului IT. conform la un raport recent al echipei de ingineri a companiei. Niciun fonduri sau informații ale clienților nu au fost afectate, a spus schimbul cripto.
Potrivit raportului, într-o duminică târziu, mai mulți angajați Coinbase au primit mesaje SMS prin care le solicitau să se conecteze urgent prin linkul furnizat pentru a accesa un mesaj important. Acționând cu bună-credință, un angajat a urmat instrucțiunile exploatatorului:
„În timp ce majoritatea ignoră acest mesaj neașteptat – un angajat, crezând că este un mesaj important și legitim, dă clic pe link și introduce numele de utilizator și parola. După „conectare”, angajatului i se cere să ignore mesajul și îi mulțumește pentru conformare.”
Făptuitorul a făcut apoi încercări repetate de a obține acces de la distanță la sistemele interne ale Coinbase cu numele de utilizator și parola angajatului, dar nu a reușit să treacă prin măsura de securitate Multi-Factor Authentication (MFA).
După ce nu s-a autentificat și a fost blocat automat, exploatatorul l-a contactat telefonic pe angajat. Potrivit raportului, atacatorul a pretins că este departamentul IT al Coinbase și a cerut asistență angajatului:
„Crezând că vorbesc cu un membru legitim al personalului IT Coinbase, angajatul s-a conectat la stația de lucru și a început să urmeze instrucțiunile atacatorului. Asta a început un dus și înapoi între atacator și un angajat din ce în ce mai suspicios. Pe măsură ce conversația a progresat, cererile au devenit din ce în ce mai suspecte.”
Echipa de răspuns la incidente de securitate informatică (CSIRT) a Coinbase a fost alertată cu privire la o activitate neobișnuită de către sistemul său de management al incidentelor și evenimentelor de securitate (SIEM). Un răspuns la incident a contactat victima prin intermediul sistemului de mesagerie intern al companiei, ca răspuns la comportamentul atipic.
„Dându-și seama că ceva nu era grav greșit, angajatul a întrerupt toate comunicările cu atacatorul”, se spune în raport. Potrivit Coinbase, mediul său de control stratificat a protejat fondurile și informațiile clienților, chiar dacă unele dintre informațiile despre personal au fost compromise.
Compania crede că atacul este asociat cu o campanie de atac sofisticată care a vizat multe companii încă de anul trecut, în special în Statele Unite. Companie de securitate cibernetică Group-IB raportate în august, atacuri similare de phishing asupra angajaților Twilio și Cloudflare, ca parte a unei campanii masive care s-a încheiat cu 9,931 de conturi a peste 130 de organizații compromise.
Echipa Coinbase a remarcat, de asemenea, că clienții și angajații săi sunt ținte frecvente ale fraudtorilor, iar soluția constă în oferirea de formare adecvată:
„Cercetările arată din nou și din nou că toți oamenii pot fi păcăliți în cele din urmă, indiferent cât de atenți, pricepuți și pregătiți ar fi. Trebuie să lucrăm întotdeauna din ipoteza că se vor întâmpla lucruri rele. Trebuie să inovăm în mod constant pentru a reduce eficacitatea acestor atacuri, totodată ne străduim să îmbunătățim experiența generală a clienților și angajaților noștri.”
Sursa: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees