Zaposlenici Coinbasea bili su meta napada na kibernetičku sigurnost 5. veljače koji je uključivao SMS prijevare i lažno predstavljanje IT osoblja, prema nedavnom izvješću inženjerskog tima tvrtke. Nisu pogođena nikakva sredstva niti informacije kupaca, rekla je kripto burza.
Prema izvješću, kasno u nedjelju nekoliko je zaposlenika Coinbasea primilo SMS poruke u kojima se od njih tražilo da se hitno prijave putem poveznice za pristup važnoj poruci. Postupajući u dobroj vjeri, jedan je zaposlenik slijedio upute eksploatatora:
“Dok većina ignorira ovu neupitanu poruku – jedan zaposlenik, vjerujući da se radi o važnoj i legitimnoj poruci, klikne na poveznicu i unese svoje korisničko ime i lozinku. Nakon 'prijave', od zaposlenika se traži da zanemari poruku i zahvaljuje se što se pridržava."
Počinitelj je zatim opetovano pokušavao dobiti udaljeni pristup internim sustavima Coinbasea s korisničkim imenom i lozinkom zaposlenika, ali nije uspio proći kroz sigurnosnu mjeru Multi-Factor Authentication (MFA).
Nakon što se nije uspio autentificirati i automatski je blokiran, eksploatator je kontaktirao zaposlenika telefonom. Prema izvješću, napadač je tvrdio da je IT odjel Coinbasea i od zaposlenika je zatražio pomoć:
“Vjerujući da razgovaraju s legitimnim članom IT osoblja Coinbasea, zaposlenik se prijavio na njihovu radnu stanicu i počeo slijediti upute napadača. Tako je počelo prepucavanje između napadača i sve sumnjičavijeg zaposlenika. Kako je razgovor odmicao, zahtjevi su postajali sve sumnjiviji.”
Coinbaseov tim za odgovor na računalne sigurnosne incidente (CSIRT) upozoren je na neuobičajenu aktivnost od strane sustava upravljanja sigurnosnim incidentima i događajima (SIEM). Služba za pomoć u incidentu obratila se žrtvi putem internog sustava za razmjenu poruka tvrtke kao odgovor na netipično ponašanje.
"Shvativši da nešto ozbiljno nije u redu, zaposlenik je prekinuo svu komunikaciju s napadačem", stoji u izvješću. Prema Coinbaseu, njegovo slojevito kontrolno okruženje štitilo je sredstva i podatke korisnika, iako su neki od njegovih podataka o osoblju bili ugroženi.
Tvrtka vjeruje da je napad povezan sa sofisticiranom kampanjom napada koja je ciljala mnoge tvrtke od prošle godine, posebno u Sjedinjenim Državama. Tvrtka za kibernetičku sigurnost Group-IB izvijestio u kolovozu slični phishing napadi na zaposlenike Twilio i Cloudflare kao dio goleme kampanje koja je završila s 9,931 računom preko 130 organizacija koji su bili ugroženi.
Coinbaseov tim također je primijetio da su njegovi klijenti i zaposlenici česte mete prevaranata, a rješenje leži u ponudi odgovarajuće obuke:
“Istraživanja uvijek iznova pokazuju da se svi ljudi na kraju mogu prevariti, bez obzira na to koliko su budni, vješti i pripremljeni. Uvijek moramo polaziti od pretpostavke da će se dogoditi loše stvari. Moramo stalno uvesti inovacije kako bismo umanjili učinkovitost ovih napada, a istovremeno težiti poboljšanju cjelokupnog iskustva naših kupaca i zaposlenika.”
Izvor: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees