Zaposleni v Coinbase so bili tarča napada na kibernetsko varnost 5. februarja, ki je vključeval prevare prek sporočil SMS in lažno predstavljanje osebja IT, po na nedavno poročilo inženirske ekipe podjetja. Prizadeta niso bila nobena sredstva ali informacije strank, je sporočila kriptoborza.
Glede na poročilo je pozno v nedeljo več uslužbencev Coinbase prejelo SMS-sporočila, v katerih so zahtevali, da se nujno prijavijo prek povezave, ki je bila na voljo za dostop do pomembnega sporočila. En zaposleni je v dobri veri sledil navodilom izkoriščevalca:
»Medtem ko večina ignorira to nepozvano sporočilo – en zaposleni v prepričanju, da gre za pomembno in legitimno sporočilo, klikne povezavo ter vnese svoje uporabniško ime in geslo. Po 'prijavi' se zaposleni pozove, naj ne upošteva sporočila, in se mu zahvali za upoštevanje.”
Storilec je nato večkrat poskušal pridobiti oddaljeni dostop do notranjih sistemov Coinbase z uporabniškim imenom in geslom zaposlenega, vendar ni mogel prestati varnostnega ukrepa večfaktorske avtentikacije (MFA).
Po neuspešni avtentikaciji in samodejni blokadi je izkoriščevalec zaposlenega kontaktiral po telefonu. Glede na poročilo je napadalec trdil, da je IT-oddelek Coinbase, in je zaposlenega prosil za pomoč:
»Uslužbenec je verjel, da govori z zakonitim članom osebja IT Coinbase, se je prijavil v njihovo delovno postajo in začel slediti navodilom napadalca. Tako se je začelo prerivanje med napadalcem in vse bolj sumljivim uslužbencem. Ko je pogovor napredoval, so bile zahteve vse bolj sumljive.«
Coinbaseova ekipa za odzivanje na računalniške varnostne incidente (CSIRT) je bila o nenavadni dejavnosti obveščena s svojim sistemom za upravljanje varnostnih incidentov in dogodkov (SIEM). Oseba, ki se je odzvala na incident, je v odgovor na netipično vedenje stopila v stik z žrtvijo prek internega sistema za sporočanje podjetja.
"Ko je zaposleni ugotovil, da je nekaj resno narobe, je prekinil vso komunikacijo z napadalcem," piše v poročilu. Po navedbah Coinbase je njegovo večplastno nadzorno okolje zaščitilo sredstva in informacije strank, čeprav so bili nekateri njegovi podatki o osebju ogroženi.
Družba verjame, da je napad povezan s prefinjeno napadalno kampanjo, ki je od lani napadla številna podjetja, zlasti v Združenih državah. Podjetje za kibernetsko varnost Group-IB poročali avgusta podobni lažni napadi na zaposlene v Twilio in Cloudflare kot del obsežne kampanje, ki se je končala z ogroženimi 9,931 računi več kot 130 organizacij.
Ekipa Coinbase je tudi ugotovila, da so njene stranke in zaposleni pogoste tarče goljufov, rešitev pa je v ponudbi ustreznega usposabljanja:
»Raziskave znova in znova kažejo, da je vse ljudi mogoče sčasoma preslepiti, ne glede na to, kako pozorni, spretni in pripravljeni so. Vedno moramo delati iz predpostavke, da se bodo zgodile slabe stvari. Nenehno moramo uvajati inovacije, da zmanjšamo učinkovitost teh napadov, hkrati pa si prizadevamo izboljšati splošno izkušnjo naših strank in zaposlenih.«
Vir: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees