Coinbase darbinieki tika vērsti uz kiberdrošības uzbrukumu 5. februārī, kas saistīts ar SMS krāpniecību un IT darbinieku uzdošanos, atbilstoši uz neseno uzņēmuma inženieru komandas ziņojumu. Nekādi klientu līdzekļi vai informācija netika ietekmēta, paziņoja kriptovalūtu birža.
Saskaņā ar ziņojumu, vēlā svētdienā vairāki Coinbase darbinieki saņēma īsziņas, kurās viņiem bija steidzami jāpiesakās, izmantojot norādīto saiti, lai piekļūtu svarīgam ziņojumam. Labticīgi rīkojoties, viens darbinieks ievēroja izmantotāja norādījumus:
“Lai gan lielākā daļa ignorē šo nepamudināto ziņojumu – viens darbinieks, uzskatot, ka tas ir svarīgs un likumīgs ziņojums, noklikšķina uz saites un ievada savu lietotājvārdu un paroli. Pēc "pieteikšanās" darbinieks tiek aicināts ignorēt ziņojumu un pateikties par atbilstību.
Pēc tam vainīgais atkārtoti mēģināja attālināti piekļūt Coinbase iekšējām sistēmām, izmantojot darbinieka lietotājvārdu un paroli, taču nespēja iziet cauri daudzfaktoru autentifikācijas (MFA) drošības pasākumam.
Pēc neveiksmīgas autentifikācijas un automātiskas bloķēšanas ekspluatants sazinājās ar darbinieku pa tālruni. Saskaņā ar ziņojumu uzbrucējs apgalvoja, ka ir Coinbase IT nodaļa, un lūdza darbinieka palīdzību:
“Uzskatot, ka viņi runā ar likumīgu Coinbase IT darbinieku, darbinieks pieteicās viņu darbstacijā un sāka izpildīt uzbrucēja norādījumus. Tā sākās turp un atpakaļ starp uzbrucēju un arvien aizdomīgāku darbinieku. Sarunai turpinoties, pieprasījumi kļuva arvien aizdomīgāki.
Coinbase datoru drošības incidentu reaģēšanas komanda (CSIRT) tika brīdināta par neparastu darbību, izmantojot tās drošības incidentu un notikumu pārvaldības (SIEM) sistēmu. Reaģējot uz netipisko uzvedību, incidenta reaģētājs sazinājās ar cietušo, izmantojot uzņēmuma iekšējo ziņojumapmaiņas sistēmu.
"Sapratusi, ka kaut kas ir nopietni nepareizi, darbinieks pārtrauca visus sakarus ar uzbrucēju," teikts ziņojumā. Saskaņā ar Coinbase teikto, tās daudzslāņu kontroles vide aizsargāja klientu līdzekļus un informāciju, lai gan daļa no tās personāla informācijas bija apdraudēta.
ir Uzņēmums uzskata, ka uzbrukums ir saistīts ar sarežģītu uzbrukuma kampaņu, kas kopš pagājušā gada ir vērsta uz daudziem uzņēmumiem, īpaši Amerikas Savienotajās Valstīs. Kiberdrošības uzņēmums Group-IB ziņots augustā līdzīgi pikšķerēšanas uzbrukumi Twilio un Cloudflare darbiniekiem kā daļa no masveida kampaņas, kuras rezultātā tika uzlauzts 9,931 konts vairāk nekā 130 organizācijās.
Coinbase komanda arī atzīmēja, ka tās klienti un darbinieki bieži ir krāpnieku mērķi, un risinājums ir atbilstošas apmācības piedāvājums:
“Pētījumi atkal un atkal parāda, ka visus cilvēkus galu galā var apmānīt neatkarīgi no tā, cik modri, prasmīgi un sagatavoti viņi ir. Mums vienmēr ir jāstrādā, pamatojoties uz pieņēmumu, ka notiks sliktas lietas. Mums ir pastāvīgi jāievieš jauninājumi, lai mazinātu šo uzbrukumu efektivitāti, vienlaikus cenšoties uzlabot mūsu klientu un darbinieku vispārējo pieredzi.
Avots: https://cointelegraph.com/news/coinbase-discloses-recent-cyberrattack-targeting-employees