Співробітники Coinbase стали мішенню атаки на кібербезпеку 5 лютого з використанням SMS-шахрайства та видавання себе за ІТ-персоналу, відповідно до нещодавнього звіту інженерної групи компанії. Жодні кошти або інформація клієнтів не постраждали, повідомила криптобіржа.
Згідно зі звітом, пізно ввечері в неділю кілька співробітників Coinbase отримали SMS-повідомлення з вимогою терміново увійти за посиланням, наданим для доступу до важливого повідомлення. Діючи сумлінно, один працівник виконав вказівки експлуататора:
«У той час як більшість ігнорує це повідомлення без запиту, один співробітник, вважаючи, що це важливе та законне повідомлення, натискає посилання та вводить своє ім’я користувача та пароль. Після «входу» працівнику пропонується проігнорувати повідомлення та дякується за виконання».
Потім зловмисник неодноразово намагався отримати віддалений доступ до внутрішніх систем Coinbase за допомогою імені користувача та пароля співробітника, але не зміг пройти через заходи безпеки багатофакторної автентифікації (MFA).
Після невдалої автентифікації та автоматичного блокування експлуататор зв’язався зі співробітником по телефону. Згідно зі звітом, зловмисник назвався ІТ-відділом Coinbase і попросив у співробітника допомоги:
«Вважаючи, що вони розмовляють із законним співробітником ІТ-спеціалісту Coinbase, працівник увійшов на їхню робочу станцію та почав слідувати інструкціям зловмисника. Це почало туди-сюди між зловмисником і підозрілим працівником. У міру розмови запити ставали все більш підозрілими».
Команда реагування на інциденти безпеки комп’ютера (CSIRT) Coinbase отримала сповіщення про незвичайну активність від системи управління інцидентами безпеки та подіями (SIEM). Служба реагування на інцидент зв’язалася з жертвою через внутрішню систему обміну повідомленнями компанії у відповідь на нетипову поведінку.
«Зрозумівши, що щось серйозно не так, співробітник припинив усі зв’язки зі зловмисником», — йдеться у звіті. За даними Coinbase, її багаторівневе середовище контролю захищало кошти та інформацію клієнтів, навіть незважаючи на те, що деяка інформація про персонал була скомпрометована.
У компанії вважають, що атака пов’язана зі складною кампанією нападів, націленими на багато компаній з минулого року, особливо в Сполучених Штатах. Компанія з кібербезпеки Group-IB повідомляє у серпні схожі фішингові атаки на співробітників Twilio та Cloudflare у рамках масштабної кампанії, яка завершилася зламаним 9,931 обліковим записом понад 130 організацій.
Команда Coinbase також зазначила, що її клієнти та співробітники часто стають мішенню для шахраїв, і рішення полягає в пропозиції відповідного навчання:
«Дослідження знову і знову показують, що зрештою всіх людей можна обдурити, незалежно від того, наскільки вони уважні, вправні та підготовлені. Ми завжди повинні працювати, виходячи з припущення, що погане станеться. Нам потрібно постійно впроваджувати інновації, щоб зменшити ефективність цих атак, а також прагнути покращити загальний досвід наших клієнтів і співробітників».
Джерело: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees