Crypto Exchange Coinbase пережил атаку кибербезопасности, нацеленную на своих сотрудников 5 февраля. Согласно недавнему отчету инженерной команды Commonys, атака произошла через SMS -мошенничество и включала подражание ИТ -персонала. Фирма сказала, что никакие средства клиентов или информация не пострадали.

Согласно отчету, в позднем воскресенье несколько сотрудников Coinbase получили SMS -сообщения, требующие срочного входа в систему по ссылке, предоставленной для доступа к важному сообщению. Действуя добросовестно, один сотрудник следовал инструкциям эксплуататора:

«В то время как большинство игнорируют это непредоставленное сообщение - один сотрудник, полагая, что это важное и законное сообщение, нажимает ссылку и вводит в свое имя пользователя и пароль. После« Входа в систему »сотрудник предлагается игнорировать сообщение и поблагодарить для соблюдения "."

Затем преступник предпринял повторные попытки получить удаленный доступ к внутренним системам Coinbase с именем пользователя и паролем сотрудников, но не смог пройти через меру безопасности многофакторной аутентификации (MFA).

После того, как эксплуататор не прошел аутентификацию и автоматически заблокирован, эксплу связался с сотрудником по телефону. Согласно отчету, злоумышленник утверждал, что является ИТ -отделом Coinbases и попросил сотрудника за помощь:

«Полагая, что они разговаривали с законным сотрудником ИТ -базы, сотрудник вошел в свою рабочую станцию ​​и начал следовать инструкциям злоумышленника. Это началось взад и вперед между злоумышленником и все более подозрительным сотрудником. По мере развития разговора, речь Запросы становились все более и более подозрительными ».

Команда реагирования на инциденты с инцидентами в компьютерной безопасности Coinbases (CSIRT) была предупреждена о необычной деятельности в связи с его системой управления инцидентами и управлением безопасностью (SIEM). Инцидент респондент обратился к жертве через систему внутренних сообщений компанией в ответ на нетипичное поведение.

«Понимая, что что -то было серьезно не так, сотрудник прекратил все общения с злоумышленником», - говорится в отчете. Согласно Coinbase, его многоуровневая среда управления защищала средства и информацию клиентов, даже несмотря на то, что некоторые из ее информирования о Personnels были скомпрометированы.

Компания считает, что атака связана со сложной атакой, которая нацелена на многие компании с прошлого года, особенно в Соединенных Штатах. Компания по кибербезопасности Group-IB сообщила в августе 2022 года аналогичные фишинговые атаки на сотрудников Twilio и Cloudflare в рамках массовой кампании, заканчивающейся в 9 931 счетах более 130 организаций.

Команда Coinbase также отметила, что ее клиенты и сотрудники являются частыми целями мошенников, и решение заключается в том, чтобы предлагать соответствующее обучение:

«Исследования снова и снова показывают, что в конечном итоге все люди могут быть одурачены, независимо от того, насколько он настороженно, квалифицирован и подготовлен. Эти атаки, а также стремятся улучшить общий опыт наших клиентов и сотрудников ».

Источник