Zaposleni u Coinbase-u bili su meta napada na sajber sigurnost 5. februara koji je uključivao SMS prevare i lažno predstavljanje IT osoblja, prema prema nedavnom izvještaju inženjerskog tima kompanije. Nije utjecalo na sredstva ili informacije kupaca, saopštila je kripto berza.
Prema izvještaju, kasno u nedjelju nekoliko zaposlenika Coinbasea primilo je SMS poruke u kojima se od njih tražilo da se hitno prijave putem pružene veze za pristup važnoj poruci. Postupajući u dobroj vjeri, jedan zaposlenik je slijedio upute eksploatatora:
“Dok većina ignoriše ovu nepoželjnu poruku – jedan zaposlenik, smatrajući da je to važna i legitimna poruka, klikne na link i unese svoje korisničko ime i lozinku. Nakon 'logiranja', zaposlenik se traži da zanemari poruku i zahvaljuje se što se povinovao.”
Počinitelj je potom više puta pokušao da dobije daljinski pristup internim sistemima Coinbase-a pomoću korisničkog imena i lozinke zaposlenog, ali nije mogao proći kroz sigurnosnu mjeru višefaktorske autentifikacije (MFA).
Nakon što nije uspio da se autentifikuje i automatski je blokiran, eksploatator je kontaktirao zaposlenog telefonom. Prema izvještaju, napadač je tvrdio da je IT odjel Coinbasea i zatražio je pomoć od zaposlenika:
“Vjerujući da razgovaraju s legitimnim članom IT osoblja Coinbasea, zaposlenik se prijavio na njihovu radnu stanicu i počeo slijediti upute napadača. To je započelo između napadača i sve sumnjivijeg zaposlenika. Kako je razgovor odmicao, zahtjevi su postajali sve sumnjiviji.”
Coinbaseov tim za odgovor na incidente u kompjuterskoj sigurnosti (CSIRT) je upozoren na neuobičajenu aktivnost od strane svog sistema za upravljanje sigurnosnim incidentima i događajima (SIEM). Osoba koja je reagirala na incident kontaktirala je žrtvu putem internog sistema za razmjenu poruka kompanije kao odgovor na netipično ponašanje.
“Shvativši da nešto ozbiljno nije u redu, zaposleni je prekinuo svu komunikaciju sa napadačem”, navodi se u izvještaju. Prema Coinbase-u, njegovo slojevito kontrolno okruženje štitilo je sredstva i informacije klijenata, iako su neke od informacija o njegovom osoblju bile kompromitovane.
ima Kompanija vjeruje da je napad povezan sa sofisticiranom kampanjom napada koja je od prošle godine ciljala mnoge kompanije, posebno u Sjedinjenim Državama. Kompanija za kibernetičku sigurnost Group-IB prijavljeno u avgustu slični phishing napadi na zaposlene u Twilio-u i Cloudflare-u kao dio masovne kampanje koja je završila kompromitacijom 9,931 naloga više od 130 organizacija.
Coinbaseov tim je također napomenuo da su njegovi kupci i zaposlenici česte mete prevaranata, a rješenje je u ponudi odgovarajuće obuke:
“Istraživanja iznova pokazuju da se svi ljudi na kraju mogu prevariti, bez obzira koliko su budni, vješti i pripremljeni. Uvijek moramo raditi na pretpostavci da će se loše stvari dogoditi. Moramo stalno inovirati kako bismo smanjili efikasnost ovih napada, a istovremeno nastojimo poboljšati cjelokupno iskustvo naših kupaca i zaposlenika.”
Izvor: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees