Coinbasen työntekijät joutuivat 5. helmikuuta kyberturvallisuushyökkäyksen kohteeksi tekstiviestihuijauksiin ja IT-henkilöstönä esiintymiseen, mukaan yhtiön suunnittelutiimin tuoreeseen raporttiin. Kryptopörssin mukaan se ei vaikuttanut asiakkaiden varoihin tai tietoihin.
Raportin mukaan myöhään sunnuntaina useat Coinbasen työntekijät saivat tekstiviestejä, joissa heitä vaadittiin kirjautumaan kiireellisesti sisään tärkeän viestin linkin kautta. Toimiessaan hyvässä uskossa yksi työntekijä noudatti hyväksikäyttäjän ohjeita:
”Vaikka suurin osa jättää tämän pyytämättömän viestin huomiotta – yksi työntekijä uskoo, että se on tärkeä ja oikeutettu viesti, klikkaa linkkiä ja syöttää käyttäjätunnuksensa ja salasanansa. "Sisäänkirjautumisen" jälkeen työntekijää kehotetaan jättämään viesti huomioimatta ja häntä kiitetään noudattamisesta."
Tekijä yritti sitten toistuvasti päästä etäkäyttöön Coinbasen sisäisiin järjestelmiin työntekijän käyttäjätunnuksella ja salasanalla, mutta ei kyennyt läpäisemään Multi-Factor Authentication (MFA) -turvatoimenpidettä.
Todennuksen epäonnistumisen ja automaattisen eston jälkeen hyväksikäyttäjä otti työntekijään yhteyttä puhelimitse. Raportin mukaan hyökkääjä väitti olevansa Coinbasen IT-osasto ja pyysi työntekijältä apua:
"Työntekijä uskoi puhuvansa laillisen Coinbase IT-henkilöstön kanssa, joten hän kirjautui heidän työasemalleen ja alkoi noudattaa hyökkääjän ohjeita. Siitä alkoi edestakaisin hyökkääjän ja yhä epäilyttävämmän työntekijän välillä. Keskustelun edetessä pyynnöt muuttuivat yhä epäilyttävämmiksi."
Coinbasen Computer Security Incident Response Team (CSIRT) sai epätavallisesta toiminnasta hälytyksen sen Security Incident and Event Management (SIEM) -järjestelmästä. Hätäkeskus otti uhriin yhteyttä yrityksen sisäisen viestintäjärjestelmän kautta vastauksena epätyypilliseen käyttäytymiseen.
"Työntekijä tajuaa, että jotain oli vakavasti vialla, hän katkaisi yhteydenotot hyökkääjään", raportti sanoi. Coinbasen mukaan sen kerrostettu ohjausympäristö suojasi asiakkaiden varoja ja tietoja, vaikka osa sen henkilöstötiedoista oli vaarantunut.
on Yhtiö uskoo, että hyökkäys liittyy kehittyneeseen hyökkäyskampanjaan, joka on kohdistunut useisiin yrityksiin viime vuodesta lähtien, erityisesti Yhdysvalloissa. Kyberturvallisuusyhtiö Group-IB raportoitu elokuussa samanlaiset tietojenkalasteluhyökkäykset Twilion ja Cloudflaren työntekijöitä vastaan osana massiivista kampanjaa, joka päättyi yli 9,931 organisaation 130 XNUMX tilin vaarantumiseen.
Coinbasen tiimi totesi myös, että sen asiakkaat ja työntekijät ovat usein huijareiden kohteena, ja ratkaisu löytyy sopivan koulutuksen tarjoamisesta:
”Tutkimukset osoittavat yhä uudelleen, että kaikki ihmiset voidaan lopulta huijata, olivatpa he kuinka valppaita, taitavia ja valmistautuneita tahansa. Meidän on aina työskenneltävä olettamuksesta, että huonoja asioita tapahtuu. Meidän on jatkuvasti innovoitava näiden hyökkäysten tehokkuutta ja samalla pyrittävä parantamaan asiakkaidemme ja työntekijöidemme yleistä kokemusta."
Lähde: https://cointelegraph.com/news/coinbase-discloses-recent-cyberrattack-targeting-employees