„Coinbase“ darbuotojai vasario 5 d. buvo nukreipti per kibernetinio saugumo ataką, susijusią su SMS sukčiavimu ir IT darbuotojų apsimetinėjimu, pagal į naujausią įmonės inžinierių komandos ataskaitą. Jokios klientų lėšos ar informacija nebuvo paveikta, pranešė kriptovaliutų birža.
Anot pranešimo, vėlyvą sekmadienį keli „Coinbase“ darbuotojai gavo SMS žinutes, reikalaujančias skubiai prisijungti per pateiktą nuorodą, kad pasiektų svarbų pranešimą. Sąžiningai veikdamas vienas darbuotojas vykdė išnaudotojo nurodymus:
„Nors dauguma ignoruoja šį neprašytą pranešimą – vienas darbuotojas, manydamas, kad tai svarbi ir teisėta žinutė, paspaudžia nuorodą ir įveda savo vartotojo vardą bei slaptažodį. Po „prisijungimo“ darbuotojas yra paragintas nepaisyti pranešimo ir padėkoti už tai.
Tada nusikaltėlis pakartotinai bandė nuotoliniu būdu pasiekti „Coinbase“ vidines sistemas su darbuotojo vartotojo vardu ir slaptažodžiu, tačiau negalėjo pereiti daugiafaktorinio autentifikavimo (MFA) saugumo priemonės.
Nepavykus autentifikuoti ir automatiškai užblokuotas, išnaudotojas su darbuotoju susisiekė telefonu. Anot pranešimo, užpuolikas teigė esąs „Coinbase“ IT skyrius ir paprašė darbuotojo pagalbos:
„Manydamas, kad jie kalbėjosi su teisėtu Coinbase IT darbuotoju, darbuotojas prisijungė prie jų darbo vietos ir pradėjo vykdyti užpuoliko nurodymus. Tai prasidėjo pirmyn ir atgal tarp užpuoliko ir vis labiau įtarusio darbuotojo. Vykstant pokalbiui, prašymai darėsi vis įtartinesni.
„Coinbase“ kompiuterių saugos incidentų reagavimo komanda (CSIRT) buvo įspėta apie neįprastą veiklą jos saugumo incidentų ir įvykių valdymo (SIEM) sistema. Reaguodamas į netipišką elgesį su auka susisiekė per įmonės vidinę pranešimų sistemą.
„Supratęs, kad kažkas rimtai negerai, darbuotojas nutraukė visus ryšius su užpuoliku“, – rašoma pranešime. „Coinbase“ teigimu, jos daugiasluoksnė kontrolės aplinka apsaugojo klientų lėšas ir informaciją, nors kai kuri jos personalo informacija buvo pažeista.
turi Bendrovė mano, kad ataka yra susijusi su sudėtinga atakų kampanija, kuri nuo praėjusių metų buvo nukreipta į daugelį įmonių, ypač Jungtinėse Valstijose. Kibernetinio saugumo įmonė Group-IB pranešė rugpjūtį panašios sukčiavimo atakos prieš „Twilio“ ir „Cloudflare“ darbuotojus buvo didžiulės kampanijos dalis, kurios pabaigoje buvo pažeista 9,931 130 daugiau nei XNUMX organizacijų paskyra.
„Coinbase“ komanda taip pat pažymėjo, kad jos klientai ir darbuotojai dažnai tampa sukčių taikiniais, o sprendimas yra pasiūlyti tinkamus mokymus:
„Tyrimai vėl ir vėl rodo, kad visi žmonės galiausiai gali būti apgauti, kad ir kokie budrūs, kvalifikuoti ir pasirengę jie būtų. Visada turime dirbti remdamiesi prielaida, kad atsitiks blogų dalykų. Turime nuolat kurti naujoves, kad sumažintume šių atakų efektyvumą, kartu stengdamiesi pagerinti bendrą klientų ir darbuotojų patirtį.
Šaltinis: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees