Popüler kripto para borsası Coinbase, bilinen en son çevrimiçi marka adıdır. kabul edilmiş ihlal edilmek için.

Şirket, ihlal raporunu kısmi ölçülülük ve başkaları için kullanışlı tavsiyelerin ilginç bir karışımına dönüştürmeye karar verdi.

Son durumda olduğu gibi Reddit, şirket S kelimesini (sofistike), bu da bir kez daha Naked Secuity okuyucusu Richard Pennington tarafından bir yazıda sunulan tanımı takip ediyor gibi görünüyor. son yorum, bunu not ettiği yer 'Sofistike' genellikle 'savunmalarımızdan daha iyi' olarak tercüme edilir..

Çoğu olmasa da pek çok ihlal raporunda tehditlerin ve saldırganların şu şekilde tanımlandığı konusunda hemfikiriz: sofistike or ileri, bu kelimeler kesinlikle (örneğin herkes için fazla iyi) yerine göreli olarak (yani bizim için fazla iyi) kullanılıyor.

Coinbase, makalesinin başındaki yönetici özetinde kendinden emin bir şekilde şunları söyledi:

Neyse ki Coinbase'in siber kontrolleri, saldırganın sisteme doğrudan erişim elde etmesini engelledi ve herhangi bir para kaybını veya müşteri bilgilerinin ele geçirilmesini önledi.

Ancak bu bariz kesinlik, bir sonraki cümlede şu itirafla baltalandı:

Kurumsal dizinimizden yalnızca sınırlı miktarda veri ifşa edildi.

Ne yazık ki, siber suçlular tarafından kullanılan favori TTP'lerden (araçlar, teknikler ve prosedürler) biri, jargonda şu şekilde bilinir: yanal hareket, bu, bir ihlalin bir bölümünde elde edilen bilgi ve erişimi daha geniş sistem erişimine aktarma hilesine atıfta bulunur.

Başka bir deyişle, bir siber suçlu, Z veritabanından gizli kurumsal verileri almak için Y kullanıcısına ait X bilgisayarını kötüye kullanabilirse (bu durumda, neyse ki, çalışan adları, e-posta adresleri ve telefon numaraları ile sınırlı)…

…o zaman saldırganın "doğrudan sisteme erişim sağlamadığını" söylemek kulağa oldukça akademik bir ayrım gibi geliyor, aramızdaki sistem yöneticileri muhtemelen bu kelimeleri suçluların erişebilecekleri bir terminal istemi ile sonuçlanmadıklarını ima edecek şekilde anlasalar da istedikleri herhangi bir sistem komutunu çalıştırın.

Tehdit savunucuları için ipuçları

Yine de Coinbase, bu saldırıda karşılaştığı bazı siber suç araçlarını, tekniklerini ve prosedürlerini listeledi ve liste, tehdit savunucuları ve XDR ekipleri için bazı yararlı ipuçları sunuyor.

XDR bugünlerde biraz moda bir kelime (kısa genişletilmiş algılama ve yanıt), ancak bunu tanımlamanın en basit yolunun şöyle olduğunu düşünüyoruz:

Genişletilmiş algılama ve yanıt, tehdit yanıtı panonuzdaki geleneksel siber güvenlik algılamalarının bir yanıtı tetiklemesini beklemek yerine, ağınızda birisinin kötü niyetli olduğuna dair ipuçlarını düzenli ve aktif bir şekilde aramak anlamına gelir.

Açıkçası, XDR mevcut siber güvenlik uyarı ve engelleme araçlarınızı kapatmak anlamına gelmez, ancak tehdit avcılığınızın kapsamını ve doğasını genişletmek anlamına gelir; zaten geldi, ama aynı zamanda hala bir saldırı girişiminde bulunmaya hazırlanırken onları izliyor.

Şirketin biraz staccato'sundan yeniden yapılandırılmış Coinbase saldırısı hesap, aşağıdaki aşamaları içermiş gibi görünüyor:

• TELLTALE 1: SMS tabanlı bir kimlik avı girişimi.

Personelden, önemli bir kurumsal bildirimi okumaları için SMS yoluyla oturum açmaları istendi.

Kolaylık sağlamak için, mesaj bir giriş bağlantısı içeriyordu, ancak bu bağlantı, kullanıcı adlarını ve şifreleri ele geçiren sahte bir siteye gidiyordu.

Görünüşe göre, saldırganlar 2FA'yı (iki faktörlü kimlik doğrulama kodu) ele geçirmek için kullanıcı adı ve parola ile birlikte gitmeleri gerektiğini bilmiyorlardı veya düşünmediler, bu nedenle saldırının bu kısmı boşa çıktı. .

2FA'nın hesabı nasıl koruduğunu bilmiyoruz. Belki de Coinbase, telefonunuzdan tarayıcınıza veya oturum açma uygulamanıza kopyaladığınız altı basamaklı bir kod sağlayarak çalışmayan Yubikeys gibi donanım belirteçleri kullanıyordur? Belki de dolandırıcılar kodu hiç sormadılar? Belki de çalışan kimlik avını şifresini verdikten sonra, ancak işlemi tamamlamak için gereken tek seferlik son sırrı ifşa etmeden önce fark etti? Coinbase raporundaki ifadeden, dolandırıcıların sahte oturum açma ekranlarında gerekli 2FA verilerini yakalamanın inandırıcı bir yolunu unuttuklarından veya bulamadıklarından şüpheleniyoruz. Uygulama tabanlı veya SMS tabanlı 2FA'nın gücünü abartmayın. Yalnızca telefonunuzda görüntülenen bir kodu dizüstü bilgisayarınızdaki bir alana yazmaya dayanan herhangi bir 2FA işlemi, kimlik avı kimlik bilgilerinizi hemen denemeye hazır ve istekli olan saldırganlara karşı çok az koruma sağlar. Bu SMS veya uygulama tarafından oluşturulan kodlar genellikle yalnızca zamanla sınırlıdır ve 30 saniye ile birkaç dakika arasında herhangi bir yerde geçerli kalır, bu da genellikle saldırganların bunları toplaması ve süreleri dolmadan önce kullanması için yeterince uzun süre sağlar.

• TELLTALE 2: BT'den olduğunu söyleyen birinden gelen bir telefon.

Bu saldırının nihayetinde suçluların çalışan iletişim bilgilerinin bir listesini ele geçirmesiyle sonuçlandığını unutmayın; bu listenin, diğer dolandırıcıların gelecekteki saldırılarda kötüye kullanması için yeraltı siber suçlarda satılacağını veya verileceğini varsayıyoruz.

İş iletişim bilgilerinizi gizli tutmaya çalışmış olsanız bile, tespit edememiş olabileceğiniz daha önceki bir ihlal veya dış kaynak kullanımı gibi ikincil bir kaynağa yönelik tarihsel bir saldırı sayesinde, zaten orada ve yaygın olarak biliniyor olabilirler. bir zamanlar personel verilerinizi emanet ettiğiniz şirket.

• TELLTALE 3: Bir uzaktan erişim programı kurma talebi.

Coinbase ihlalinde, saldırının ikinci aşamasında çağrılan toplum mühendisleri görünüşe göre kurbandan AnyDesk'i ve ardından ISL Online'ı kurmasını istedi.

Bırakın uzaktan erişim araçlarını (dışarıdan birinin ekranınızı görmesini ve farenizi ve klavyenizi bilgisayarınızın başındaymış gibi uzaktan kontrol etmesini sağlayan) sizi az önce arayan birinin sözü üzerine asla herhangi bir yazılım yüklemeyin. kendi BT departmanınızdan olduklarını düşünseniz bile.

Onları aramadıysanız, kim olduklarından neredeyse kesinlikle emin olamazsınız.

• TELLTALE 4: Bir tarayıcı eklentisi yükleme isteği.

Coinbase davasında, dolandırıcıların kurbanın kullanmasını istediği araca EditThisCookie (kullanıcının tarayıcısından erişim belirteçleri gibi sırları almanın ultra basit bir yolu) adı verildi, ancak sözde herhangi bir tarayıcı eklentisi yüklemeyi reddetmelisiniz. yani tanımadığın ve hiç tanışmadığın birinin.

Tarayıcı eklentileri, şifrelenmeden önce şifreler dahil olmak üzere tarayıcınıza yazdığınız her şeye ve şifresi çözüldükten sonra tarayıcınızın görüntülediği her şeye neredeyse sınırsız erişim sağlar.

Eklentiler yalnızca taramanızı gözetlemekle kalmaz, aynı zamanda yazdıklarınızı iletilmeden önce ve geri aldığınız içeriği ekranda görünmeden önce görünmez bir şekilde değiştirebilir.

Ne yapalım?

Şimdiye kadar verdiğimiz tavsiyeleri tekrarlamak ve geliştirmek için:

• Mesajlardaki linklere tıklayarak asla giriş yapmayınız. Herhangi bir yerden gelebilecek bir mesajın "yardımına" ihtiyaç duymadan nereye gideceğinizi bilmelisiniz.
• Sizi arayan insanlardan asla BT tavsiyesi almayın. Tam olarak doğru zamanı bilen ve size "yardım ediyor" gibi görünen bir dolandırıcıyla temasa geçme riskini azaltmak için kendinizi nereden arayacağınızı bilmelisiniz.
• Doğrulamadığınız bir BT çalışanının sözlerine dayanarak asla yazılım yüklemeyin. Güvenli olduğunu düşündüğünüz yazılımları bile kurmayın, çünkü arayan kişi sizi büyük olasılıkla kötü amaçlı yazılımın zaten eklenmiş olduğu bubi tuzaklı bir indirmeye yönlendirecektir.
• Bir mesajı veya aramayı asla gerçek olup olmadığını sorarak yanıtlamayın. Gönderen veya arayan kişi size duymak istediklerinizi söyleyecektir. Şüpheli kişileri mümkün olan en kısa sürede kendi güvenlik ekibinize bildirin.

Bu durumda Coinbase, kendi güvenlik ekibinin XDR tekniklerini kullanarak olağandışı etkinlik kalıplarını (örneğin, beklenmedik bir VPN hizmeti aracılığıyla oturum açma girişimleri) tespit edebildiğini ve yaklaşık 10 dakika içinde müdahale edebildiğini söylüyor.

Bu, saldırı altındaki kişinin yalnızca çok fazla zarar verilmeden önce suçlularla tüm temasını kesmekle kalmayıp, aynı zamanda saldırganların daha fazla oyun, hile ve sözde hile ile geri gelmesi ihtimaline karşı ekstra dikkatli olması gerektiğini bildiği anlamına geliyordu. aktif düşman kandırmaca.

Sizin de şirketinizin XDR "sensör ağının" bir parçası olduğunuzdan emin olun. Teknolojik araçlar güvenlik ekibiniz yerinde.

Aktif savunucularınıza yalnızca "VPN kaynak adresi erişim günlüklerinde göründü" diye devam etmeleri için daha fazlasını vermek, onların aktif bir saldırıyı algılamak ve yanıt vermek için çok daha donanımlı olacakları anlamına gelir.

AKTİF DÜŞMANLAR HAKKINDA DAHA FAZLA BİLGİ EDİNİN

Gerçek hayatta, siber suçlular bir saldırı başlattıklarında gerçekten ne işe yarar? Sadece bariz semptomlarla uğraşmak yerine, bir saldırının altında yatan nedeni nasıl bulur ve tedavi edersiniz?

XDR VE MDR HAKKINDA DAHA FAZLA BİLGİ EDİNİN

Siber güvenlik tehdidi müdahalesiyle ilgilenmek için zamanınız veya uzmanlığınız mı az? Siber güvenliğin sizi yapmanız gereken diğer şeylerden uzaklaştıracağından mı endişeleniyorsunuz?

Sophos Yönetilen Algılama ve Yanıt'a bir göz atın:
24/7 tehdit avı, tespiti ve müdahalesi  ▶

SOSYAL MÜHENDİSLİK HAKKINDA DAHA FAZLA BİLGİ EDİNİN

Bize katılın büyüleyici röportaj DEFCON Sosyal Mühendislik Bayrağı Ele Geçirme şampiyonu Rachel Tobac ile dolandırıcıların, toplum mühendislerinin ve diğer kalitesiz siber suçluların nasıl tespit edilip reddedileceği hakkında.

Aşağıda hiçbir podcast oynatıcı gösterilmiyor mu? Dinlemek doğrudan Soundcloud'da.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/