Криптовалютная биржа Coinbase подверглась атаке кибербезопасности, направленной против ее сотрудников 5 февраля. Согласно недавнему отчету инженерной группы компании, атака была совершена с помощью SMS-мошенничества и выдавала себя за ИТ-персонал. Компания заявила, что никакие средства или информация клиентов не пострадали.
Согласно отчету, поздно вечером в воскресенье несколько сотрудников Coinbase получили SMS-сообщения с требованием срочно войти в систему по ссылке, предоставленной для доступа к важному сообщению. Один из сотрудников, действуя добросовестно, выполнил указание эксплуататора:
«В то время как большинство игнорирует это сообщение без подсказки — один сотрудник, полагая, что это важное и законное сообщение, щелкает ссылку и вводит свое имя пользователя и пароль. После «входа в систему» сотруднику предлагается игнорировать сообщение и благодарить за выполнение.”
Затем злоумышленник предпринял неоднократные попытки получить удаленный доступ к внутренним системам Coinbase с помощью имени пользователя и пароля сотрудника, но не смог пройти через меры безопасности многофакторной аутентификации (MFA).
После неудачной аутентификации и автоматической блокировки злоумышленник связался с сотрудником по телефону. Согласно отчету, злоумышленник представился ИТ-отделом Coinbase и обратился за помощью к сотруднику:
«Полагая, что они разговаривали с законным сотрудником ИТ-отдела Coinbase, сотрудник вошел в свою рабочую станцию и начал следовать инструкциям злоумышленника. Это привело к обмену мнениями между злоумышленником и все более подозрительным сотрудником. все более и более подозрительно».
Группа реагирования на инциденты компьютерной безопасности Coinbase (CSIRT) была предупреждена о необычной активности своей системой управления инцидентами и событиями безопасности (SIEM). Реагирующий на инциденты связался с жертвой через внутреннюю систему обмена сообщениями компании в ответ на нетипичное поведение.
«Поняв, что что-то серьезно не так, сотрудник прекратил все контакты со злоумышленником», — говорится в сообщении. Согласно Coinbase, ее многоуровневая среда контроля защищала средства и информацию клиентов, даже несмотря на то, что часть информации о ее персонале была скомпрометирована.
Компания считает, что атака связана с изощренной кампанией атак, направленной против многих компаний с прошлого года, особенно в Соединенных Штатах. Компания по кибербезопасности Group-IB сообщила в августе 2022 года об аналогичных фишинговых атаках на сотрудников Twilio и Cloudflare в рамках масштабной кампании, в результате которой был скомпрометирован 9 931 аккаунт из более чем 130 организаций.
Команда Coinbase также отметила, что ее клиенты и сотрудники часто становятся жертвами мошенников, и решение заключается в проведении соответствующего обучения:
«Исследования снова и снова показывают, что в конце концов всех людей можно одурачить, какими бы бдительными, опытными и подготовленными они ни были.этих атак, а также стремясь улучшить общее впечатление наших клиентов и сотрудников».