Coinbase-medewerkers waren het doelwit van een cyberbeveiligingsaanval op 5 februari met sms-oplichting en de imitaties van IT-personeel, volgens naar een recent rapport van het technische team van het bedrijf. Er werden geen fondsen of informatie van klanten beïnvloed, aldus de crypto-uitwisseling.
Volgens het rapport ontvingen verschillende Coinbase-medewerkers op een late zondag sms-berichten waarin hen werd gevraagd dringend in te loggen via de verstrekte link om toegang te krijgen tot een belangrijk bericht. Eén werknemer volgde te goeder trouw de instructies van de uitbuiter op:
“Terwijl de meerderheid dit ongevraagde bericht negeert, klikt een medewerker, die denkt dat het een belangrijk en legitiem bericht is, op de link en voert zijn gebruikersnaam en wachtwoord in. Na het 'inloggen' wordt de medewerker gevraagd het bericht te negeren en bedankt voor het naleven.”
De dader deed vervolgens herhaalde pogingen om op afstand toegang te krijgen tot de interne systemen van Coinbase met de gebruikersnaam en het wachtwoord van de werknemer, maar slaagde er niet in om de Multi-Factor Authentication (MFA) beveiligingsmaatregel te passeren.
Nadat hij zich niet had geverifieerd en automatisch was geblokkeerd, nam de uitbuiter telefonisch contact op met de werknemer. Volgens het rapport beweerde de aanvaller dat hij de IT-afdeling van Coinbase was en vroeg hij de medewerker om hulp:
“In de overtuiging dat ze met een legitieme IT-medewerker van Coinbase spraken, logde de medewerker in op zijn werkstation en begon hij de instructies van de aanvaller op te volgen. Dat begon heen en weer tussen de aanvaller en een steeds achterdochtiger wordende medewerker. Naarmate het gesprek vorderde, werden de verzoeken steeds verdachter.”
Het Computer Security Incident Response Team (CSIRT) van Coinbase werd gewaarschuwd voor een ongebruikelijke activiteit door zijn Security Incident and Event Management (SIEM)-systeem. Een incidentresponder nam contact op met het slachtoffer via het interne berichtensysteem van het bedrijf als reactie op het atypische gedrag.
"Toen hij zich realiseerde dat er iets ernstig mis was, beëindigde de medewerker alle communicatie met de aanvaller", aldus het rapport. Volgens Coinbase beschermde de gelaagde controleomgeving de fondsen en informatie van klanten, ook al was een deel van de personeelsinformatie gecompromitteerd.
heeft Het bedrijf gelooft dat de aanval verband houdt met een geavanceerde aanvalscampagne die sinds vorig jaar op veel bedrijven is gericht, vooral in de Verenigde Staten. Cyberbeveiligingsbedrijf Group-IB gerapporteerd in augustus soortgelijke phishing-aanvallen op medewerkers van Twilio en Cloudflare als onderdeel van een massale campagne die eindigde in het in gevaar brengen van 9,931 accounts van meer dan 130 organisaties.
Het team van Coinbase merkte ook op dat zijn klanten en werknemers vaak het doelwit zijn van fraudeurs, en de oplossing ligt in het aanbieden van passende training:
“Uit onderzoek blijkt keer op keer dat alle mensen uiteindelijk voor de gek kunnen worden gehouden, hoe alert, bekwaam en voorbereid ze ook zijn. We moeten altijd uitgaan van de veronderstelling dat er slechte dingen zullen gebeuren. We moeten voortdurend innoveren om de effectiviteit van deze aanvallen af te zwakken, terwijl we er ook naar streven om de algehele ervaring van onze klanten en medewerkers te verbeteren.”
Bron: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees