L'exchange di criptovalute Coinbase ha segnalato un recente attacco informatico che ha preso di mira uno dei suoi dipendenti, provocando il furto delle credenziali di accesso dent la divulgazione di alcune informazioni di contatto appartenenti a più dipendenti. Tuttavia, i controlli informatici dell'azienda hanno impedito all'aggressore di ottenere l'accesso diretto al sistema e i dati o i fondi dei clienti non sono stati compromessi.
“Coinbase ha recentemente subito un attacco alla sicurezza informatica che ha preso di mira uno dei suoi dipendenti. Fortunatamente, i controlli informatici di Coinbase hanno impedito all'aggressore di ottenere l'accesso diretto al sistema e di prevenire qualsiasi perdita di fondi o compromissione delle informazioni dei clienti. È stata esposta solo una quantità limitata di dati della nostra directory aziendale”.
Squadra Coinbase
Come è avvenuto l'attacco
Secondo Coinbase, il 5 febbraio diversi dipendenti hanno ricevuto messaggi SMS che indicavano che avevano urgentemente bisogno di accedere per ricevere un messaggio importante. Mentre la maggior parte dei dipendenti ha ignorato il messaggio, un dipendente ha fatto clic sul collegamento e ha inserito le proprie informazioni di accesso, pensando che fosse un messaggio legittimo. L'aggressore, dotato di nome utente e password legittimi di un dipendente Coinbase, ha effettuato ripetuti tentativi di ottenere l'accesso remoto all'azienda, ma non è riuscito a fornire le dent MFA (Multi-Factor Authentication) richieste, bloccando così l'accesso.
Successivamente, l'aggressore ha chiamato il dipendente e ha affermato di appartenere al dipartimento IT aziendale di Coinbase, chiedendo l'aiuto del dipendente. Il dipendente, credendo che il chiamante fosse un legittimo membro dello staff IT di Coinbase, ha effettuato l'accesso alla propria postazione di lavoro e ha seguito le istruzioni dell'aggressore. Tuttavia, man mano che la conversazione procedeva, il dipendente diventava sempre più sospettoso e, alla fine, le richieste diventavano troppo sospette.
Coinbase ha rassicurato i suoi clienti che nessun fondo o informazione sui clienti è stata compromessa e che è stata esposta solo una quantità limitata di dati della directory aziendale. L’ dent evidenzia l’importanza di tron controlli informatici e della consapevolezza dei dipendenti nel prevenire attacchi informatici efficaci.
Prevenire gli attacchi informatici
Coinbase ha condiviso alcune tattiche, tecniche e procedure (TTP) chiave che altre società di crittografia possono utilizzare per dent e difendersi da un attacco simile.
Il TTP include il monitoraggio del traffico web dalle risorse tecnologiche dell'azienda a indirizzi specifici, come sso-.com, -sso.com, login.-sso.com, dashboard-.com e *-dashboard.com. Inoltre, secondo Coinbase, è fondamentale monitorare i download o i tentativi di download di specifici visualizzatori di desktop remoti, inclusi AnyDesk e ISL Online, e qualsiasi tentativo di accesso all'organizzazione da un provider VPN di terze parti, in particolare Mullvad VPN.
Inoltre, Coinbase ha anche condiviso che le società crittografiche dovrebbero prestare attenzione alle telefonate/messaggi di testo in arrivo da fornitori specifici, tra cui Google Voice, Skype, Vonage/Nexmo e Bandwidth. Dovrebbero anche monitorare i tentativi imprevisti di installare estensioni del browser specifiche, incluso EditThisCookie.
Secondo Will Thomas dell'Equinix Threat Analysis Center (ETAC), alcuni domini aggiuntivi a tema Coinbase, come sso-cbhq[.]com, sso-cb[.]com e coinbase[.]sso-cloud[.] com, sono stati probabilmente utilizzati nell'attacco. È fondamentale sapere che il modus operandi dell'aggressore è simile a quanto osservato durante le campagne di phishing Scatter Swine/0ktapus lo scorso anno.
Group-IB, una società di sicurezza informatica, ha inoltre riferito che l’autore della minaccia ha rubato quasi 1.000 accessi aziendali inviando collegamenti di phishing tramite SMS ai dipendenti dell’azienda.