Zamestnanci Coinbase sa 5. februára stali terčom kybernetického bezpečnostného útoku, ktorý zahŕňal SMS podvody a vydávanie sa za zamestnancov IT, podľa na nedávnu správu inžinierskeho tímu spoločnosti. Podľa kryptoburzy neboli ovplyvnené žiadne finančné prostriedky ani informácie zákazníkov.
Podľa správy dostalo v neskorú nedeľu niekoľko zamestnancov Coinbase SMS správy, v ktorých sa od nich vyžadovalo, aby sa urýchlene prihlásili prostredníctvom poskytnutého odkazu na prístup k dôležitej správe. Jeden zamestnanec konal v dobrej viere a postupoval podľa pokynov vykorisťovateľa:
„Zatiaľ čo väčšina ignoruje túto nevyžiadanú správu – jeden zamestnanec v domnení, že ide o dôležitú a legitímnu správu, klikne na odkaz a zadá svoje používateľské meno a heslo. Po „prihlásení“ je zamestnanec vyzvaný, aby správu ignoroval a poďakoval sa za súhlas.“
Páchateľ sa potom opakovane pokúšal získať vzdialený prístup k interným systémom Coinbase pomocou používateľského mena a hesla zamestnanca, no nepodarilo sa mu prejsť bezpečnostným opatrením Multi-Factor Authentication (MFA).
Po neúspešnej autentifikácii a automatickom zablokovaní vykorisťovateľ kontaktoval zamestnanca telefonicky. Podľa správy útočník tvrdil, že je IT oddelením Coinbase a požiadal zamestnanca o pomoc:
„V presvedčení, že sa rozprávajú s legitímnym pracovníkom IT Coinbase, zamestnanec sa prihlásil na ich pracovnú stanicu a začal sa riadiť pokynmi útočníka. To začalo tam a späť medzi útočníkom a čoraz podozrivejším zamestnancom. Ako konverzácia napredovala, požiadavky boli čoraz podozrivejšie.“
Tím CSIRT (Computer Security Incident Response Team) spoločnosti Coinbase bol upozornený na nezvyčajnú aktivitu svojim systémom správy bezpečnostných incidentov a udalostí (SIEM). V reakcii na atypické správanie sa k obeti prostredníctvom interného systému zasielania správ spoločnosti dostal pracovník zodpovedný za incident.
„Keď si zamestnanec uvedomil, že niečo nie je vážne v poriadku, ukončil s útočníkom všetku komunikáciu,“ uvádza sa v správe. Podľa Coinbase jej vrstvené kontrolné prostredie chránilo finančné prostriedky a informácie zákazníkov, aj keď niektoré z jej personálnych informácií boli ohrozené.
Spoločnosť sa domnieva, že útok súvisí so sofistikovanou útočnou kampaňou, ktorá sa od minulého roka zameriava na mnohé spoločnosti, najmä v Spojených štátoch. Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Group-IB hlásené v auguste podobné phishingové útoky na zamestnancov Twilio a Cloudflare ako súčasť masívnej kampane, ktorá končila ohrozením 9,931 130 účtov viac ako XNUMX organizácií.
Tím Coinbase tiež poznamenal, že jej zákazníci a zamestnanci sú častým cieľom podvodníkov a riešenie spočíva v ponuke vhodných školení:
„Výskum znova a znova ukazuje, že všetci ľudia môžu byť nakoniec oklamaní, bez ohľadu na to, akí sú ostražití, zruční a pripravení. Vždy musíme vychádzať z predpokladu, že sa stanú zlé veci. Musíme neustále inovovať, aby sme oslabili efektivitu týchto útokov a zároveň sa snažili zlepšiť celkovú skúsenosť našich zákazníkov a zamestnancov.“
Zdroj: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees