Супрацоўнікі Coinbase сталі мішэнню кібербяспекі 5 лютага з выкарыстаннем SMS-махлярства і выдачы сябе за ІТ-персанал, у адпаведнасці да нядаўняй справаздачы інжынернай групы кампаніі. Ніякія сродкі або інфармацыя кліентаў не былі закрануты, паведаміла крыптабіржа.
Паводле справаздачы, у нядзелю позна ўвечары некалькі супрацоўнікаў Coinbase атрымалі SMS-паведамленні з патрабаваннем тэрмінова ўвайсці па спасылцы, прадстаўленай для доступу да важнага паведамлення. Дзейнічаючы добрасумленна, адзін супрацоўнік выканаў інструкцыі эксплуататара:
«У той час як большасць ігнаруе гэта паведамленне без падказкі, адзін супрацоўнік, лічачы, што гэта важнае і законнае паведамленне, націскае спасылку і ўводзіць сваё імя карыстальніка і пароль. Пасля «ўваходу» супрацоўніку прапануецца праігнараваць паведамленне і дзякуе за захаванне».
Затым злачынец неаднаразова спрабаваў атрымаць аддалены доступ да ўнутраных сістэм Coinbase з дапамогай імя карыстальніка і пароля супрацоўніка, але не змог прайсці праз меру бяспекі шматфактарнай аўтэнтыфікацыі (MFA).
Пасля няўдалай аўтэнтыфікацыі і аўтаматычнай блакіроўкі эксплуататар звязаўся з супрацоўнікам па тэлефоне. Паводле справаздачы, зламыснік назваў сябе ІТ-аддзелам Coinbase і папрасіў дапамогі ў супрацоўніка:
«Мяркуючы, што яны размаўляюць з законным супрацоўнікам ІТ Coinbase, супрацоўнік увайшоў у сваю працоўную станцыю і пачаў выконваць інструкцыі зламысніка. Так пачалася сварка паміж зламыснікам і ўсё больш падазроным супрацоўнікам. Па меры размовы запыты станавіліся ўсё больш падазронымі».
Група рэагавання на інцыдэнты камп'ютэрнай бяспекі (CSIRT) Coinbase атрымала паведамленне аб незвычайнай дзейнасці з дапамогай сістэмы кіравання інцыдэнтамі і падзеямі бяспекі (SIEM). У адказ на нетыповыя паводзіны служба рэагавання на інцыдэнт звязалася з ахвярай праз унутраную сістэму абмену паведамленнямі кампаніі.
«Зразумеўшы, што нешта сур'ёзна не так, супрацоўнік спыніў усякую сувязь са зламыснікам», - гаворыцца ў паведамленні. Па дадзеных Coinbase, яе шматслойнае асяроддзе кантролю абараняла сродкі і інфармацыю кліентаў, нават калі частка інфармацыі аб персанале была скампраметаваная.
Кампанія лічыць, што атака звязана са складанай кампаніяй нападу, якая накіравана на многія кампаніі з мінулага года, асабліва ў Злучаных Штатах. Кампанія па кібербяспецы Group-IB паведамляецца у жніўні аналагічныя фішынгавыя атакі на супрацоўнікаў Twilio і Cloudflare у рамках маштабнай кампаніі скончыліся ўзломам 9,931 уліковага запісу больш чым 130 арганізацый.
Каманда Coinbase таксама адзначыла, што яе кліенты і супрацоўнікі часта становяцца мішэнямі ашуканцаў, і рашэнне заключаецца ў прапанове адпаведнага навучання:
«Даследаванні зноў і зноў паказваюць, што ў рэшце рэшт усіх людзей можна падмануць, незалежна ад таго, наколькі яны пільныя, кваліфікаваныя і падрыхтаваныя. Мы заўсёды павінны працаваць з здагадкі, што дрэннае будзе. Нам трэба пастаянна ўводзіць інавацыі, каб знізіць эфектыўнасць гэтых нападаў, адначасова імкнучыся палепшыць агульны вопыт нашых кліентаў і супрацоўнікаў».
Крыніца: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees