Zaměstnanci Coinbase byli 5. února terčem kybernetického bezpečnostního útoku zahrnujícího SMS podvody a předstírání identity IT zaměstnanců, podle k nedávné zprávě inženýrského týmu společnosti. Žádné finanční prostředky ani informace zákazníků nebyly ovlivněny, uvedla kryptoburza.
Podle zprávy obdrželo v pozdní neděli několik zaměstnanců Coinbase SMS zprávy, které po nich požadovaly, aby se naléhavě přihlásili prostřednictvím poskytnutého odkazu pro přístup k důležité zprávě. Jeden zaměstnanec jednal v dobré víře a řídil se pokyny vykořisťovatele:
„Zatímco většina tuto nevyžádanou zprávu ignoruje – jeden zaměstnanec v domnění, že jde o důležitou a legitimní zprávu, klikne na odkaz a zadá své uživatelské jméno a heslo. Po ‚přihlášení‘ je zaměstnanec vyzván, aby zprávu ignoroval, a poděkuje za vyhovění.“
Pachatel se poté opakovaně pokoušel získat vzdálený přístup k interním systémům Coinbase pomocí uživatelského jména a hesla zaměstnance, ale nebyl schopen projít bezpečnostním opatřením Multi-Factor Authentication (MFA).
Po neúspěšné autentizaci a automatickém zablokování kontaktoval vykořisťovatel zaměstnance telefonicky. Podle zprávy útočník tvrdil, že je IT oddělením Coinbase, a požádal zaměstnance o pomoc:
„V domnění, že mluví s legitimním pracovníkem IT Coinbase, se zaměstnanec přihlásil na jejich pracovní stanici a začal se řídit pokyny útočníka. To začalo tam a zpět mezi útočníkem a stále podezřelejším zaměstnancem. Jak konverzace postupovala, žádosti byly stále podezřelejší.“
Tým Coinbase Computer Security Incident Response Team (CSIRT) byl upozorněn na neobvyklou aktivitu svým systémem Security Incident and Event Management (SIEM). V reakci na atypické chování se k oběti prostřednictvím interního systému zasílání zpráv společnosti dostal pracovník odpovědný za incident.
"Když si zaměstnanec uvědomil, že je něco vážně špatně, ukončil veškerou komunikaci s útočníkem," uvedla zpráva. Podle Coinbase její vrstvené kontrolní prostředí chránilo finanční prostředky a informace zákazníků, i když některé její personální informace byly kompromitovány.
Společnost se domnívá, že útok souvisí se sofistikovanou útočnou kampaní, která se od loňského roku zaměřila na mnoho společností, zejména ve Spojených státech. Společnost kybernetické bezpečnosti Group-IB hlášeny v srpnu podobné phishingové útoky na zaměstnance Twilio a Cloudflare jako součást masivní kampaně, která skončila v ohrožení 9,931 130 účtů více než XNUMX organizací.
Tým Coinbase také poznamenal, že její zákazníci a zaměstnanci jsou častým cílem podvodníků a řešení spočívá v nabídce vhodného školení:
„Výzkum znovu a znovu ukazuje, že všichni lidé mohou být nakonec oklamáni, bez ohledu na to, jak jsou ostražití, zruční a připravení. Vždy musíme vycházet z předpokladu, že se stanou špatné věci. Musíme neustále inovovat, abychom oslabili efektivitu těchto útoků a zároveň se snažili zlepšit celkovou zkušenost našich zákazníků a zaměstnanců.“
Zdroj: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees