Coinbase-medarbejdere blev ramt af et cybersikkerhedsangreb den 5. februar, der involverede sms-svindel og efterligning af it-personale, ifølge til en nylig rapport fra virksomhedens ingeniørteam. Ingen kunders penge eller information blev påvirket, sagde kryptobørsen.
Ifølge rapporten modtog adskillige Coinbase-medarbejdere en sen søndag SMS-beskeder, der krævede, at de hurtigt skulle logge ind via det angivne link for at få adgang til en vigtig besked. I god tro fulgte en medarbejder udnytterens instruktioner:
“Mens flertallet ignorerer denne uopfordrede besked – klikker en medarbejder, der mener, at det er en vigtig og legitim besked, på linket og indtaster deres brugernavn og adgangskode. Efter at have 'logget ind', bliver medarbejderen bedt om at se bort fra beskeden og takkes for at have fulgt."
Gerningsmanden gjorde derefter gentagne forsøg på at få fjernadgang til Coinbases interne systemer med medarbejderens brugernavn og adgangskode, men var ikke i stand til at passere gennem sikkerhedsforanstaltningen Multi-Factor Authentication (MFA).
Efter at have undladt at autentificere og blive automatisk blokeret, kontaktede udnytteren medarbejderen telefonisk. Ifølge rapporten hævdede angriberen at være Coinbases it-afdeling og bad medarbejderen om hjælp:
"I troen på, at de talte med en legitim Coinbase IT-medarbejder, loggede medarbejderen på deres arbejdsstation og begyndte at følge angriberens instruktioner. Det begyndte en frem og tilbage mellem angriberen og en stadig mere mistænkelig medarbejder. Efterhånden som samtalen skred frem, blev anmodningerne mere og mere mistænkelige.”
Coinbase's Computer Security Incident Response Team (CSIRT) blev advaret om en usædvanlig aktivitet af deres Security Incident and Event Management (SIEM) system. En incident responder nåede ud til offeret via virksomhedens interne beskedsystem som reaktion på den atypiske adfærd.
"Da medarbejderen indså, at noget var alvorligt galt, afsluttede han al kommunikation med angriberen," sagde rapporten. Ifølge Coinbase beskyttede dets lagdelte kontrolmiljø kundemidler og information, selvom nogle af dets personaleoplysninger var blevet kompromitteret.
har Virksomheden mener, at angrebet er forbundet med en sofistikeret angrebskampagne, der har været rettet mod mange virksomheder siden sidste år, især i USA. Cybersikkerhedsvirksomhed Group-IB rapporteret i august lignende phishing-angreb på medarbejdere hos Twilio og Cloudflare som en del af en massiv kampagne, der endte i, at 9,931 konti fra over 130 organisationer blev kompromitteret.
Coinbases team bemærkede også, at dets kunder og medarbejdere er hyppige mål for svindlere, og løsningen ligger i at tilbyde passende træning:
”Forskning viser igen og igen, at alle mennesker kan blive narret til sidst, uanset hvor opmærksomme, dygtige og forberedte de er. Vi skal altid arbejde ud fra den antagelse, at der vil ske dårlige ting. Vi er nødt til konstant at innovere for at sløve effektiviteten af disse angreb, samtidig med at vi stræber efter at forbedre den samlede oplevelse for vores kunder og medarbejdere."
Kilde: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees