Coinbase çalışanları, 5 Şubat'ta SMS dolandırıcılığı ve BT personelinin kimliğine bürünme içeren bir siber güvenlik saldırısında hedef alındı. göre şirketin mühendislik ekibinden yakın tarihli bir rapora göre. Kripto borsası, hiçbir müşterinin fonunun veya bilgisinin etkilenmediğini söyledi.
Rapora göre, Pazar günü geç saatlerde birkaç Coinbase çalışanı, önemli bir mesaja erişmek için sağlanan bağlantı aracılığıyla acilen oturum açmalarını gerektiren SMS mesajları aldı. İyi niyetle hareket eden bir çalışan, istismarcının talimatlarını takip etti:
“Çoğunluk bu istemsiz mesajı görmezden gelirken, bir çalışan bunun önemli ve meşru bir mesaj olduğuna inanarak bağlantıyı tıklar ve kullanıcı adını ve şifresini girer. 'Oturum açtıktan' sonra, çalışandan mesajı dikkate almaması istenir ve uyduğu için teşekkür edilir.”
Fail daha sonra çalışanın kullanıcı adı ve şifresiyle Coinbase'in dahili sistemlerine uzaktan erişim elde etmek için defalarca girişimde bulundu, ancak Çok Faktörlü Kimlik Doğrulama (MFA) güvenlik önlemini geçemedi.
Kimlik doğrulaması başarısız olduktan ve otomatik olarak engellendikten sonra istismarcı, çalışanla telefonla iletişime geçti. Rapora göre saldırgan Coinbase'in BT departmanı olduğunu iddia etti ve çalışandan yardım istedi:
"Meşru bir Coinbase BT personeliyle konuştuklarına inanan çalışan, iş istasyonuna giriş yaptı ve saldırganın talimatlarını uygulamaya başladı. Bu, saldırgan ile giderek daha fazla şüphelenen bir çalışan arasında gidip gelmeye başladı. Görüşme ilerledikçe, talepler giderek daha fazla şüpheli hale geldi.”
Coinbase'in Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT), Güvenlik Olayı ve Olay Yönetimi (SIEM) sistemi tarafından olağandışı bir etkinlik hakkında uyarıldı. Bir olay müdahale görevlisi, alışılmadık davranışa yanıt olarak şirketin dahili mesajlaşma sistemi aracılığıyla kurbana ulaştı.
Raporda, "Bir şeylerin ciddi şekilde ters gittiğini anlayan çalışan, saldırganla tüm iletişimini kesti" denildi. Coinbase'e göre, katmanlı kontrol ortamı, bazı personel bilgileri ele geçirilmiş olsa da müşteri fonlarını ve bilgilerini koruyordu.
Şirket, saldırının geçen yıldan bu yana özellikle Amerika Birleşik Devletleri'nde birçok şirketi hedef alan karmaşık bir saldırı kampanyasıyla ilişkili olduğuna inanıyor. Siber güvenlik şirketi Group-IB rapor Ağustos ayında, 9,931'dan fazla kuruluşun 130 hesabının ele geçirilmesiyle sonuçlanan büyük bir kampanyanın parçası olarak Twilio ve Cloudflare çalışanlarına yönelik benzer kimlik avı saldırıları.
Coinbase ekibi ayrıca müşterilerinin ve çalışanlarının sık sık dolandırıcıların hedefi olduğunu ve çözümün uygun eğitim sunmakta yattığını da belirtti:
“Araştırmalar, ne kadar uyanık, yetenekli ve hazırlıklı olursa olsunlar, tüm insanların eninde sonunda kandırılabileceğini tekrar tekrar gösteriyor. Her zaman kötü şeylerin olacağı varsayımından hareket etmeliyiz. Müşterilerimizin ve çalışanlarımızın genel deneyimini iyileştirmeye çalışırken, bu saldırıların etkinliğini köreltmek için sürekli yenilik yapmamız gerekiyor.”
Kaynak: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees