Coinbase の従業員は、SMS 詐欺と IT スタッフのなりすましを含む 5 月 XNUMX 日のサイバーセキュリティ攻撃の標的になりました。 従った 同社のエンジニアリングチームからの最近のレポートに。 仮想通貨取引所によると、顧客の資金や情報に影響はなかったという。
報告書によると、日曜日の遅い時間に、Coinbase の従業員数人が、重要なメッセージにアクセスするために提供されたリンクから緊急にログインするよう求める SMS メッセージを受け取りました。 誠意を持って行動した従業員の XNUMX 人は、搾取者の指示に従いました。
「大多数がこのプロンプトなしのメッセージを無視しますが、XNUMX 人の従業員は、それが重要で正当なメッセージであると信じて、リンクをクリックし、ユーザー名とパスワードを入力します。 「ログイン」した後、従業員はメッセージを無視するように求められ、従うことに感謝します。」
加害者は、従業員のユーザー名とパスワードを使用してコインベースの内部システムへのリモート アクセスを繰り返し試みましたが、多要素認証 (MFA) セキュリティ対策を通過できませんでした。
認証に失敗し、自動的にブロックされた後、攻撃者は従業員に電話で連絡しました。 レポートによると、攻撃者は Coinbase の IT 部門であると主張し、従業員に支援を求めました。
「正規の Coinbase IT スタッフ メンバーと話していると信じて、従業員は自分のワークステーションにログインし、攻撃者の指示に従い始めました。 これにより、攻撃者とますます疑わしい従業員との間でやり取りが始まりました。 会話が進むにつれて、要求はますます疑わしくなりました。」
Coinbase のコンピューター セキュリティ インシデント対応チーム (CSIRT) は、セキュリティ インシデントおよびイベント管理 (SIEM) システムによって異常な活動について警告を受けました。 インシデント対応担当者は、異常な行動に対応して、社内のメッセージ システムを介して被害者に連絡を取りました。
「何か重大な問題があることに気づいた従業員は、攻撃者とのすべての通信を終了しました」と報告書は述べています。 Coinbase によると、その階層化された制御環境は、一部の個人情報が侵害されたにもかかわらず、顧客の資金と情報を保護していました。
同社は、この攻撃は、昨年から特に米国で多くの企業を標的にした高度な攻撃キャンペーンに関連していると考えています。 サイバーセキュリティ会社 Group-IB 報告 9,931 月には、130 を超える組織の XNUMX のアカウントが侵害された大規模なキャンペーンの一環として、Twilio と Cloudflare の従業員に対する同様のフィッシング攻撃が行われました。
Coinbase のチームはまた、その顧客と従業員が詐欺師の標的になることが多く、その解決策は適切なトレーニングを提供することにあると述べています。
「どんなに警戒心が強く、熟練していて、準備ができていても、すべての人は最終的にだまされる可能性があることが、研究によって何度も示されています。 私たちは常に、悪いことが起こるという前提で仕事をしなければなりません。 これらの攻撃の有効性を弱めるために、常に革新を続ける必要があると同時に、顧客と従業員の全体的なエクスペリエンスを向上させるよう努める必要があります。」
ソース: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees