Die Krypto-Börse Coinbase hat einen kürzlichen Cyberangriff gemeldet dent und zur Offenlegung einiger Kontaktinformationen mehrerer Mitarbeiter führte. Die Cyberkontrollen des Unternehmens verhinderten jedoch, dass der Angreifer direkten Systemzugriff erlangte, und es wurden keine Kundendaten oder Gelder kompromittiert.
„Coinbase erlebte kürzlich einen Cybersicherheitsangriff, der auf einen seiner Mitarbeiter abzielte. Glücklicherweise hinderten die Cyberkontrollen von Coinbase den Angreifer daran, direkten Systemzugriff zu erlangen, und verhinderten den Verlust von Geldern oder die Gefährdung von Kundeninformationen. Nur eine begrenzte Menge an Daten aus unserem Unternehmensverzeichnis wurde offengelegt.“
Coinbase-Team
Wie es zu dem Angriff kam
Laut Coinbase erhielten am 5. Februar mehrere Mitarbeiter SMS-Nachrichten, die darauf hindeuteten, dass sie sich dringend anmelden mussten, um eine wichtige Nachricht zu erhalten. Während die meisten Mitarbeiter die Nachricht ignorierten, klickte ein Mitarbeiter auf den Link und gab seine Anmeldeinformationen ein, weil er dachte, es handele sich um eine legitime Nachricht. Der Angreifer, der mit einem legitimen Benutzernamen und Passwort eines Coinbase-Mitarbeiters ausgestattet war, unternahm wiederholte Versuche, sich Fernzugriff auf das Unternehmen zu verschaffen, konnte jedoch nicht die erforderlichen Multi-Factor Authentication (MFA) dent bereitstellen, was seinen Zugriff blockierte.
Anschließend rief der Angreifer den Mitarbeiter an und behauptete, er gehöre zur IT-Abteilung des Unternehmens von Coinbase, um die Hilfe des Mitarbeiters zu erbitten. Der Mitarbeiter, der glaubte, der Anrufer sei ein legitimer IT-Mitarbeiter von Coinbase, loggte sich auf seiner Workstation ein und befolgte die Anweisungen des Angreifers. Allerdings wurde der Mitarbeiter im Laufe des Gesprächs immer misstrauischer und schließlich wurden die Anfragen zu misstrauisch.
Coinbase versicherte seinen Kunden, dass keine Gelder oder Kundeninformationen kompromittiert wurden und nur eine begrenzte Menge an Daten aus dem Unternehmensverzeichnis offengelegt wurde. Der dent macht deutlich, wie wichtig tron Cyberkontrollen und das Bewusstsein der Mitarbeiter für die Verhinderung erfolgreicher Cyberangriffe sind.
Verhinderung von Cyber-Angriffen
Coinbase teilte einige wichtige Taktiken, Techniken und Verfahren (TTPs), die andere Kryptounternehmen verwenden können, um einen ähnlichen Angriff dent und sich dagegen zu verteidigen.
Das TTP umfasst die Überwachung des Webverkehrs von den Technologieressourcen des Unternehmens zu bestimmten Adressen wie sso-.com, -sso.com, login.-sso.com, dashboard-.com und *-dashboard.com. Darüber hinaus ist laut Coinbase die Überwachung von Downloads oder versuchten Downloads bestimmter Remote-Desktop-Viewer, einschließlich AnyDesk und ISL Online, sowie aller Versuche, von einem VPN-Drittanbieter, insbesondere Mullvad VPN, auf das Unternehmen zuzugreifen, von entscheidender Bedeutung.
Darüber hinaus teilte Coinbase mit, dass Krypto-Unternehmen auf eingehende Telefonanrufe/Textnachrichten von bestimmten Anbietern, einschließlich Google Voice, Skype, Vonage/Nexmo und Bandwidth, achten sollten. Sie sollten auch unerwartete Versuche überwachen, bestimmte Browsererweiterungen zu installieren, einschließlich EditThisCookie.
Laut Will Thomas vom Equinix Threat Analysis Center (ETAC) sind einige zusätzliche Coinbase-Domänen wie sso-cbhq[.]com, sso-cb[.]com und coinbase[.]sso-cloud[.] com, wurden möglicherweise bei dem Angriff verwendet. Es ist wichtig zu wissen, dass der Modus Operandi des Angreifers dem ähnelt, was während der Scatter Swine/0ktapus-Phishing-Kampagnen im letzten Jahr beobachtet wurde.
Group-IB, ein Cybersicherheitsunternehmen, berichtete außerdem, dass der Bedrohungsakteur fast 1.000 Unternehmenszugriffsanmeldungen gestohlen hat, indem er Phishing-Links per SMS an Mitarbeiter des Unternehmens gesendet hat.