5 февраля сотрудники Coinbase стали жертвами кибератаки, связанной с мошенническими SMS-сообщениями и выдачей себя за ИТ-персонал. согласно к недавнему отчету инженерной группы компании. Криптовалютная биржа заявила, что никакие средства или информация клиентов не пострадали.
Согласно отчету, поздно вечером в воскресенье несколько сотрудников Coinbase получили SMS-сообщения с требованием срочно войти в систему по ссылке, предоставленной для доступа к важному сообщению. Один из сотрудников, действуя добросовестно, выполнил указание эксплуататора:
«В то время как большинство игнорирует это сообщение без подсказки – один сотрудник, посчитав это важным и законным сообщением, переходит по ссылке и вводит свое имя пользователя и пароль. После «входа в систему» сотруднику предлагается проигнорировать сообщение и благодарить за выполнение».
Затем злоумышленник предпринял неоднократные попытки получить удаленный доступ к внутренним системам Coinbase с помощью имени пользователя и пароля сотрудника, но не смог пройти через меры безопасности многофакторной аутентификации (MFA).
После неудачной аутентификации и автоматической блокировки злоумышленник связался с сотрудником по телефону. Согласно отчету, злоумышленник представился ИТ-отделом Coinbase и обратился за помощью к сотруднику:
«Полагая, что они разговаривали с законным ИТ-специалистом Coinbase, сотрудник вошел в свою рабочую станцию и начал следовать инструкциям злоумышленника. Началась перепалка между злоумышленником и все более подозрительным сотрудником. По ходу разговора запросы становились все более и более подозрительными».
Группа реагирования на инциденты компьютерной безопасности Coinbase (CSIRT) была предупреждена о необычной активности своей системой управления инцидентами и событиями безопасности (SIEM). Реагирующий на инциденты связался с жертвой через внутреннюю систему обмена сообщениями компании в ответ на нетипичное поведение.
«Поняв, что что-то серьезно не так, сотрудник прекратил все контакты со злоумышленником», — говорится в сообщении. Согласно Coinbase, ее многоуровневая среда контроля защищала средства и информацию клиентов, даже несмотря на то, что часть информации о ее персонале была скомпрометирована.
Компания считает, что атака связана с изощренной кампанией атаки, которая с прошлого года нацелена на многие компании, особенно в Соединенных Штатах. Компания по кибербезопасности Group-IB переправу в августе аналогичные фишинговые атаки были совершены против сотрудников Twilio и Cloudflare в рамках масштабной кампании, в результате которой был скомпрометирован 9,931 130 аккаунт в более чем XNUMX организациях.
Команда Coinbase также отметила, что ее клиенты и сотрудники часто становятся жертвами мошенников, и решение заключается в проведении соответствующего обучения:
«Исследования снова и снова показывают, что в конце концов всех людей можно одурачить, независимо от того, насколько они бдительны, опытны и подготовлены. Мы всегда должны исходить из предположения, что случится что-то плохое. Нам необходимо постоянно вводить новшества, чтобы снизить эффективность этих атак, а также стремиться улучшить общее впечатление наших клиентов и сотрудников».
Источник: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees.