I dipendenti di Coinbase sono stati presi di mira in un attacco di sicurezza informatica il 5 febbraio che coinvolge truffe di SMS e imitazioni del personale IT, secondo a un recente rapporto del team di ingegneri dell'azienda. Nessun fondo o informazione dei clienti è stato influenzato, ha affermato l'exchange di criptovalute.
Secondo il rapporto, in tarda domenica diversi dipendenti di Coinbase hanno ricevuto messaggi SMS che richiedevano loro di accedere urgentemente tramite il collegamento fornito per accedere a un messaggio importante. Agendo in buona fede, un dipendente ha seguito le istruzioni dello sfruttatore:
“Mentre la maggioranza ignora questo messaggio spontaneo, un dipendente, credendo che si tratti di un messaggio importante e legittimo, fa clic sul collegamento e inserisce nome utente e password. Dopo l'"accesso", al dipendente viene chiesto di ignorare il messaggio e viene ringraziato per aver aderito."
L'autore ha quindi tentato ripetutamente di ottenere l'accesso remoto ai sistemi interni di Coinbase con il nome utente e la password del dipendente, ma non è stato in grado di passare attraverso la misura di sicurezza Multi-Factor Authentication (MFA).
Dopo aver fallito l'autenticazione ed essere stato automaticamente bloccato, lo sfruttatore ha contattato telefonicamente il dipendente. Secondo il rapporto, l'aggressore ha affermato di essere il dipartimento IT di Coinbase e ha chiesto assistenza al dipendente:
“Credendo di parlare con un legittimo membro dello staff IT di Coinbase, il dipendente ha effettuato l'accesso alla propria postazione di lavoro e ha iniziato a seguire le istruzioni dell'aggressore. Ciò ha dato inizio a un avanti e indietro tra l'aggressore e un dipendente sempre più sospettoso. Man mano che la conversazione procedeva, le richieste diventavano sempre più sospette".
Il Computer Security Incident Response Team (CSIRT) di Coinbase è stato avvisato di un'attività insolita dal suo sistema SIEM (Security Incident and Event Management). Un soccorritore ha contattato la vittima tramite il sistema di messaggistica interno dell'azienda in risposta al comportamento atipico.
"Rendendosi conto che c'era qualcosa di gravemente sbagliato, il dipendente ha interrotto tutte le comunicazioni con l'aggressore", afferma il rapporto. Secondo Coinbase, il suo ambiente di controllo a più livelli proteggeva i fondi e le informazioni dei clienti, anche se alcune delle sue informazioni personali erano state compromesse.
ha La società ritiene che l'attacco sia associato a una sofisticata campagna di attacco che ha preso di mira molte aziende dallo scorso anno, soprattutto negli Stati Uniti. Società di sicurezza informatica Group-IB segnalati ad agosto simili attacchi di phishing ai dipendenti di Twilio e Cloudflare come parte di una massiccia campagna che si è conclusa con la compromissione di 9,931 account di oltre 130 organizzazioni.
Il team di Coinbase ha anche notato che i suoi clienti e dipendenti sono spesso bersagli di truffatori e la soluzione sta nell'offrire una formazione adeguata:
“La ricerca mostra ancora e ancora che tutte le persone possono essere ingannate alla fine, non importa quanto siano attente, abili e preparate. Dobbiamo sempre lavorare partendo dal presupposto che accadranno cose brutte. Dobbiamo innovare costantemente per ridurre l'efficacia di questi attacchi, sforzandoci anche di migliorare l'esperienza complessiva dei nostri clienti e dipendenti".
Fonte: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees