Служителите на Coinbase бяха обект на атака срещу киберсигурността на 5 февруари, включваща SMS измами и представяне на ИТ персонал, според към скорошен доклад от инженерния екип на компанията. Никакви средства или информация на клиенти не са засегнати, каза крипто борсата.
Според доклада късно в неделя няколко служители на Coinbase са получили SMS съобщения, изискващи от тях спешно да влязат чрез предоставената връзка за достъп до важно съобщение. Действайки добросъвестно, един служител следва инструкциите на експлоататора:
„Докато мнозинството игнорира това неподканено съобщение – един служител, вярвайки, че това е важно и легитимно съобщение, кликва върху връзката и въвежда своето потребителско име и парола. След „влизане“ служителят получава подкана да пренебрегне съобщението и му благодари, че се е съобразил.“
След това извършителят направи многократни опити да получи отдалечен достъп до вътрешните системи на Coinbase с потребителското име и паролата на служителя, но не успя да премине през мярката за сигурност на многофакторното удостоверяване (MFA).
След като не успя да се удостовери и беше автоматично блокиран, експлоататорът се свърза със служителя по телефона. Според доклада нападателят твърди, че е ИТ отделът на Coinbase и моли служителя за помощ:
„Вярвайки, че разговарят с легитимен член на ИТ персонала на Coinbase, служителят влезе в работната им станция и започна да следва инструкциите на нападателя. Това започна двубой между нападателя и все по-подозрителен служител. С напредването на разговора заявките стават все по-подозрителни.“
Екипът за реагиране при инциденти с компютърна сигурност (CSIRT) на Coinbase беше предупреден за необичайна дейност от неговата система за управление на инциденти и събития по сигурността (SIEM). Служител за реагиране при инцидент се свърза с жертвата чрез вътрешната система за съобщения на компанията в отговор на нетипичното поведение.
„Осъзнавайки, че нещо не е наред, служителят прекрати всички комуникации с нападателя“, се казва в доклада. Според Coinbase нейната многопластова контролна среда е защитила средствата и информацията на клиентите, въпреки че част от информацията за персонала е била компрометирана.
Компанията вярва, че атаката е свързана със сложна кампания за атака, която е насочена към много компании от миналата година, особено в Съединените щати. Компания за киберсигурност Group-IB съобщи през август подобни фишинг атаки срещу служители на Twilio и Cloudflare като част от мащабна кампания, завършила с 9,931 130 акаунта на над XNUMX организации, които са били компрометирани.
Екипът на Coinbase също отбеляза, че неговите клиенти и служители са чести мишени на измамници и решението се крие в предлагането на подходящо обучение:
„Изследванията показват отново и отново, че в крайна сметка всички хора могат да бъдат измамени, независимо колко бдителни, опитни и подготвени са. Винаги трябва да работим от предположението, че ще се случат лоши неща. Трябва непрекъснато да правим иновации, за да намалим ефективността на тези атаки, като същевременно се стремим да подобрим цялостното изживяване на нашите клиенти и служители.“
Източник: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees