加密货币交易所 Coinbase报告称,最近发生了针对其一名员工的网络攻击,导致登录凭据被盗dent并导致多名员工的一些联系信息被泄露。 然而,该公司的网络控制阻止了攻击者直接访问系统,并且没有客户数据或资金受到损害。
“Coinbase 最近遭遇了针对其一名员工的网络安全攻击。 幸运的是,Coinbase 的网络控制阻止了攻击者直接访问系统,并防止了任何资金损失或客户信息泄露。 我们公司名录中只暴露了有限的数据。”
Coinbase团队
攻击是如何发生的
据 Coinbase 报道,2 月 5 日,多名员工收到短信,表示他们迫切需要登录才能接收重要消息。 虽然大多数员工忽略了该消息,但一名员工点击了该链接并输入了登录信息,认为这是一条合法消息。 攻击者拥有合法的 Coinbase 员工用户名和密码,多次尝试远程访问该公司,但无法提供所需的多重身份验证 (MFA)dent,从而阻止了他们的访问。
随后,攻击者致电该员工,自称来自 Coinbase 公司信息技术(IT)部门,寻求该员工的帮助。 该员工认为呼叫者是合法的 Coinbase IT 员工,因此登录到他们的工作站并按照攻击者的指示进行操作。 然而,随着谈话的进展,该员工变得越来越可疑,最终,这些请求变得过于可疑。
Coinbase 向客户保证,没有任何资金或客户信息受到泄露,并且仅暴露了公司目录中的有限数据。 该dent凸显了tron的网络控制和员工意识对于防止成功的网络攻击的重要性。
防止网络攻击
Coinbase 分享了一些关键策略、技术和程序 (TTP),其他加密货币公司可以使用它们来dent和防御类似的攻击。
TTP 包括监控从公司技术资产到特定地址的 Web 流量,例如 sso-.com、-sso.com、login.-sso.com、dashboard-.com 和 *-dashboard.com。 此外,据 Coinbase 称,监控特定远程桌面查看器(包括 AnyDesk 和 ISL Online)的下载或尝试下载,以及任何从第三方 VPN 提供商(特别是 Mulvad VPN)访问组织的尝试也至关重要。
此外,Coinbase 还表示,加密货币公司应该对来自特定提供商的来电/短信保持警惕,包括 Google Voice、Skype、Vonage/Nexmo 和 Bandwidth。 他们还应该监视安装特定浏览器扩展(包括 EditThisCookie)的意外尝试。
根据 Equinix 威胁分析中心 (ETAC) 的 Will Thomas 的说法,还有一些其他以 Coinbase 为主题的域,例如 sso-cbhq[.]com、sso-cb[.]com 和 coinbase[.]sso-cloud[.] com,可能在攻击中使用。 重要的是要知道攻击者的作案手法与去年 Scatter Swine/0ktapus 网络钓鱼活动中观察到的类似。
网络安全公司 Group-IB 还报告称,威胁行为者通过短信向公司员工发送网络钓鱼链接,窃取了近 1,000 个公司访问登录信息。