Kryptoutbyte Coinbase har rapporterat en nyligen genomförd cyberattack som riktade sig mot en av dess anställda, vilket resulterade i stöld av inloggningsuppgifter dent exponering av viss kontaktinformation som tillhör flera anställda. Företagets cyberkontroller hindrade dock angriparen från att få direkt systemåtkomst, och ingen kunddata eller pengar äventyrades.
"Coinbase upplevde nyligen en cybersäkerhetsattack som riktade sig mot en av dess anställda. Lyckligtvis hindrade Coinbases cyberkontroller angriparen från att få direkt systemåtkomst och förhindrade förlust av pengar eller äventyrar kundinformation. Endast en begränsad mängd data från vår företagskatalog exponerades.”
Coinbase Team
Hur attacken gick till
Enligt Coinbase fick flera anställda den 5 februari SMS-meddelanden som tydde på att de brådskande behövde logga in för att få ett viktigt meddelande. Medan de flesta anställda ignorerade meddelandet, klickade en anställd på länken och angav sin inloggningsinformation och trodde att det var ett legitimt meddelande. Angriparen, utrustad med ett legitimt användarnamn och lösenord för Coinbase-anställda, gjorde upprepade försök att få fjärråtkomst till företaget men kunde inte tillhandahålla de erforderliga Multi-Factor Authentication (MFA) dent , vilket blockerade deras åtkomst.
Därefter ringde angriparen den anställde och påstod sig vara från Coinbases företagsinformationsteknikavdelning (IT) och sökte den anställdes hjälp. Den anställde, som trodde att uppringaren var en legitim Coinbase IT-personal, loggade in på sin arbetsstation och följde angriparens instruktioner. Emellertid blev den anställde allt mer misstänksam allteftersom samtalet fortskred, och till slut blev förfrågningarna alltför misstänksamma.
Coinbase försäkrade sina kunder att inga pengar eller kundinformation äventyrades, och endast en begränsad mängd data från företagskatalogen exponerades. dent belyser vikten av tron cyberkontroller och medarbetares medvetenhet för att förhindra framgångsrika cyberattacker.
Förhindra cyberattacker
Coinbase delade några nyckeltaktiker, tekniker och procedurer (TTP) som andra kryptoföretag kan använda för dent och försvara sig mot en liknande attack.
TTP inkluderar övervakning av webbtrafik från företagets teknologitillgångar till specifika adresser, såsom sso-.com, -sso.com, login.-sso.com, dashboard-.com och *-dashboard.com. Dessutom är övervakning av nedladdningar eller försök till nedladdning av specifika fjärrskrivbordsvisare, inklusive AnyDesk och ISL Online, och alla försök att komma åt organisationen från en tredjeparts VPN-leverantör, särskilt Mullvad VPN, avgörande, enligt Coinbase.
Dessutom delade Coinbase också att kryptoföretag bör vara vaksamma på inkommande telefonsamtal/sms från specifika leverantörer, inklusive Google Voice, Skype, Vonage/Nexmo och Bandwidth. De bör också övervaka oväntade försök att installera specifika webbläsartillägg, inklusive EditThisCookie.
Enligt Will Thomas från Equinix Threat Analysis Center (ETAC), några ytterligare domäner med Coinbase-tema, såsom sso-cbhq[.]com, sso-cb[.]com och coinbase[.]sso-cloud[.] com, möjligen användes i attacken. Det är viktigt att veta att angriparens arbetssätt liknar det som observerades under nätfiskekampanjerna Scatter Swine/0ktapus förra året.
Group-IB, ett cybersäkerhetsföretag, rapporterade också att hotaktören stal nästan 1 000 företagsinloggningar genom att skicka nätfiske-länkar via SMS till företagets anställda.