أبلغت بورصة العملات المشفرة Coinbase عن هجوم سيبراني حديث استهدف أحد موظفيها، مما أدى إلى سرقة بيانات اعتماد تسجيل الدخول dent بعض معلومات الاتصال الخاصة بالعديد من الموظفين. ومع ذلك، منعت الضوابط السيبرانية للشركة المهاجم من الوصول المباشر إلى النظام، ولم يتم اختراق أي بيانات أو أموال العملاء.
"شهدت Coinbase مؤخرًا هجومًا للأمن السيبراني استهدف أحد موظفيها. لحسن الحظ ، منعت عناصر التحكم الإلكترونية في Coinbase المهاجم من الوصول المباشر إلى النظام ومنعت أي خسارة للأموال أو اختراق معلومات العميل. تم الكشف عن كمية محدودة فقط من البيانات من دليل الشركة ".
فريق Coinbase
كيف وقع الهجوم
وفقًا لـ Coinbase ، في 5 فبراير ، تلقى العديد من الموظفين رسائل SMS تشير إلى أنهم بحاجة ماسة إلى تسجيل الدخول لتلقي رسالة مهمة. بينما تجاهل معظم الموظفين الرسالة ، نقر أحد الموظفين على الرابط وأدخل معلومات تسجيل الدخول ، معتقدًا أنها رسالة شرعية. قام المهاجم ، المجهز باسم مستخدم وكلمة مرور شرعيين في Coinbase ، بمحاولات متكررة للوصول عن بُعد إلى الشركة ، لكنه لم يتمكن من توفير مصادقة متعددة العوامل (MFA) المطلوبة ، والتي منعت dent .
بعد ذلك ، اتصل المهاجم بالموظف وادعى أنه من قسم تكنولوجيا المعلومات (IT) في Coinbase ، طالبًا مساعدة الموظف. الموظف ، الذي يعتقد أن المتصل هو أحد موظفي تكنولوجيا المعلومات الشرعيين في Coinbase ، قام بتسجيل الدخول إلى محطة العمل الخاصة به واتبع تعليمات المهاجم. ومع ذلك ، أصبح الموظف مشبوهًا بشكل متزايد مع تقدم المحادثة ، وفي النهاية أصبحت الطلبات مشبوهة للغاية.
طمأنت Coinbase عملائها بأنه لم يتم اختراق أي أموال أو معلومات العملاء ، ولم يتم الكشف إلا عن كمية محدودة من البيانات من دليل الشركة. يسلط التقرير dent على أهمية الضوابط tron ووعي الموظفين في منع الهجمات الإلكترونية الناجحة.
منع الهجمات الإلكترونية
شاركت Coinbase بعض التكتيكات والتقنيات والإجراءات الرئيسية (TTPs) التي يمكن لشركات التشفير الأخرى استخدامها dent على أي هجوم مماثل والدفاع عنه.
يتضمن TTP مراقبة حركة مرور الويب من أصول التكنولوجيا الخاصة بالشركة إلى عناوين محددة ، مثل sso-.com و -sso.com و login.-sso.com و dashboard-.com و * -dashboard.com. بالإضافة إلى ذلك ، فإن مراقبة التنزيلات أو محاولات التنزيل لعارضين معينين على سطح المكتب البعيد ، بما في ذلك AnyDesk و ISL Online ، وأي محاولات للوصول إلى المنظمة من مزود VPN تابع لجهة خارجية ، وتحديداً Mullvad VPN أمر حيوي ، وفقًا لـ Coinbase.
علاوة على ذلك ، شارك Coinbase أيضًا أن شركات التشفير يجب أن تكون يقظة للمكالمات الهاتفية / الرسائل النصية الواردة من مزودين محددين ، بما في ذلك Google Voice و Skype و Vonage / Nexmo و Bandwidth. يجب عليهم أيضًا مراقبة المحاولات غير المتوقعة لتثبيت ملحقات مستعرض معينة ، بما في ذلك EditThisCookie.
وفقًا لـ Will Thomas من مركز Equinix Threat Analysis Center (ETAC) ، هناك بعض المجالات الإضافية ذات السمات Coinbase ، مثل sso-cbhq [.] com و sso-cb [.] com و coinbase [.] sso-cloud [.] com ، ربما تم استخدامها في الهجوم. من الضروري معرفة أن طريقة عمل المهاجم مشابهة لما لوحظ خلال حملات التصيد الاحتيالي Scatter Swine / 0ktapus العام الماضي.
كما أفادت Group-IB ، وهي شركة للأمن السيبراني ، أن ممثل التهديد سرق ما يقرب من 1000 تسجيل دخول للشركات عن طريق إرسال روابط تصيد عبر الرسائل القصيرة إلى موظفي الشركة.
