Coinbase'i töötajad said 5. veebruaril küberjulgeolekurünnaku sihtmärgiks, mis hõlmas SMS-pettusi ja IT-töötajate kehastamist, vastavalt ettevõtte insenerimeeskonna hiljutisele raportile. Krüptobörs teatas, et see ei mõjutanud klientide raha ega teavet.
Raporti kohaselt said mitmed Coinbase'i töötajad pühapäeva hilisõhtul SMS-sõnumeid, mis nõudsid neilt kiiremas korras sisselogimist, et pääseda juurde olulisele sõnumile. Heauskselt tegutsedes järgis üks töötaja ärakasutaja juhiseid:
“Kuigi enamus ignoreerib seda küsimata sõnumit – üks töötaja, arvates, et tegu on olulise ja õigustatud sõnumiga, klõpsab lingil ning sisestab oma kasutajanime ja parooli. Pärast "sisselogimist" palutakse töötajal teadet eirata ja tänatakse selle täitmise eest.
Seejärel üritas kurjategija korduvalt töötaja kasutajanime ja parooliga kaugjuurdepääsu Coinbase'i sisesüsteemidele, kuid ei suutnud läbida mitmefaktorilise autentimise (MFA) turvameedet.
Pärast autentimise ebaõnnestumist ja automaatset blokeerimist võttis ärakasutaja töötajaga telefoni teel ühendust. Aruande kohaselt väitis ründaja end Coinbase'i IT-osakonnaks ja palus töötajalt abi:
"Uskudes, et nad rääkisid seadusliku Coinbase'i IT-töötajaga, logis töötaja sisse nende tööjaama ja hakkas järgima ründaja juhiseid. Sellest sai alguse edasi-tagasi rünnak ründaja ja üha kahtlustavama töötaja vahel. Vestluse edenedes muutusid taotlused aina kahtlasemaks.
Coinbase'i arvutiturbeintsidentidele reageerimise meeskonda (CSIRT) teavitas selle turvaintsidentide ja sündmuste haldamise (SIEM) süsteem ebatavalisest tegevusest. Intsidendile reageerija pöördus ohvriga ettevõttesisese sõnumisüsteemi kaudu, et reageerida ebatüüpilisele käitumisele.
"Kui töötaja sai aru, et midagi on tõsiselt valesti, katkestas ta igasuguse suhtluse ründajaga," seisis raportis. Coinbase'i sõnul kaitses selle kihiline juhtimiskeskkond klientide raha ja teavet, kuigi osa personaliteavet oli ohustatud.
has Ettevõte usub, et rünnak on seotud keeruka rünnakukampaaniaga, mis on alates eelmisest aastast sihikule võtnud paljusid ettevõtteid, eriti USA-s. Küberturvalisuse ettevõte Group-IB teatatud augustis sarnased andmepüügirünnakud Twilio ja Cloudflare'i töötajate vastu osana ulatuslikust kampaaniast, mis lõppes enam kui 9,931 organisatsiooni 130 kontoga.
Coinbase'i meeskond märkis ka, et selle kliendid ja töötajad on sagedased petturite sihtmärgid ning lahendus peitub sobiva koolituse pakkumises:
"Uuringud näitavad ikka ja jälle, et kõik inimesed võivad lõpuks lolliks minna, olenemata sellest, kui erksad, osavad ja valmis nad on. Peame alati töötama eeldusel, et halbu asju juhtub. Peame nende rünnakute tõhususe vähendamiseks pidevalt uuendusi tegema, püüdes samal ajal parandada oma klientide ja töötajate üldist kogemust.
Allikas: https://cointelegraph.com/news/coinbase-discloses-recent-cyberrattack-targeting-employees