Coinbase-anställda utsattes för en cybersäkerhetsattack den 5 februari som involverade sms-bedrägerier och imitationer av IT-personal, enligt till en färsk rapport från företagets ingenjörsteam. Inga kunders pengar eller information påverkades, sa kryptobörsen.
Enligt rapporten fick flera Coinbase-anställda på en sen söndag SMS-meddelanden som krävde att de snabbt loggar in via länken för att komma åt ett viktigt meddelande. I god tro följde en anställd exploatörens instruktioner:
"Medan majoriteten ignorerar detta ouppfordrade meddelande - en anställd, som tror att det är ett viktigt och legitimt meddelande, klickar på länken och anger sitt användarnamn och lösenord. Efter att ha "loggat in" uppmanas den anställde att ignorera meddelandet och tackas för att han följer det."
Gärningsmannen gjorde sedan upprepade försök att få fjärråtkomst till Coinbases interna system med den anställdes användarnamn och lösenord, men kunde inte gå igenom säkerhetsåtgärden Multi-Factor Authentication (MFA).
Efter att ha misslyckats med att autentisera och automatiskt blockerats, kontaktade exploatören den anställde per telefon. Enligt rapporten hävdade angriparen att han var Coinbases IT-avdelning och bad den anställde om hjälp:
"Då anställde trodde att de pratade med en legitim Coinbase IT-personal loggade in på sin arbetsstation och började följa angriparens instruktioner. Det började ett fram och tillbaka mellan angriparen och en alltmer misstänksam anställd. Allt eftersom konversationen fortskred blev förfrågningarna mer och mer misstänksamma.”
Coinbase's Computer Security Incident Response Team (CSIRT) larmades om en ovanlig aktivitet av dess Security Incident and Event Management (SIEM) system. En incident responder nådde offret via företagets interna meddelandesystem som svar på det atypiska beteendet.
"Den anställde insåg att något var allvarligt fel och avbröt all kommunikation med angriparen", stod det i rapporten. Enligt Coinbase skyddade dess skiktade kontrollmiljö kundmedel och information, även om en del av personalinformationen hade äventyrats.
har Företaget tror att attacken är förknippad med en sofistikerad attackkampanj som har riktats mot många företag sedan förra året, särskilt i USA. Cybersäkerhetsföretaget Group-IB rapporterade i augusti liknande nätfiskeattacker mot anställda på Twilio och Cloudflare som en del av en massiv kampanj som slutade i att 9,931 130 konton från över XNUMX organisationer äventyrades.
Coinbases team noterade också att dess kunder och anställda är frekventa mål för bedragare, och lösningen ligger i att erbjuda lämplig utbildning:
"Forskning visar om och om igen att alla människor kan bli lurade så småningom, oavsett hur pigga, skickliga och förberedda de är. Vi måste alltid arbeta utifrån antagandet att dåliga saker kommer att hända. Vi måste ständigt förnya oss för att dämpa effektiviteten av dessa attacker samtidigt som vi strävar efter att förbättra den övergripande upplevelsen för våra kunder och anställda.”
Källa: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees