Coinbase trở thành nạn nhân mới nhất của một cuộc tấn công mạng, trong đó một tác nhân đe dọa không xác định đã nỗ lực đáng kể để vi phạm hệ thống nội bộ của một trong những nền tảng trao đổi tiền điện tử hàng đầu thế giới thông qua một cuộc tấn công lừa đảo.
Trong một blog được đăng trên trang web của mình, Coinbase đã xác nhận dữ liệu từ thư mục công ty của chúng tôi đã bị lộ sau khi những kẻ tấn công mạng thành công trong việc xâm phạm hệ thống của họ. Trong một tuyên bố, Coinbase cho biết:
“Coinbase gần đây đã trải qua một cuộc tấn công an ninh mạng nhắm vào một trong những nhân viên của mình. May mắn thay, các biện pháp kiểm soát không gian mạng của Coinbase đã ngăn kẻ tấn công truy cập trực tiếp vào hệ thống và ngăn chặn mọi tổn thất về tiền hoặc xâm phạm thông tin khách hàng. Chỉ một lượng dữ liệu hạn chế từ thư mục công ty của chúng tôi bị lộ.”
Mặc dù Coinbase nói rằng tiền của khách hàng, cũng như dữ liệu của khách hàng, được bảo mật, công ty an ninh mạng Group-IB nói thêm rằng kẻ đe dọa đã đánh cắp gần 1,000 thông tin đăng nhập truy cập của công ty bằng cách gửi các liên kết lừa đảo qua SMS cho nhân viên công ty.
Tội phạm mạng ban đầu nhắm mục tiêu vào nhân viên Coinbase bằng cách gửi năm tin nhắn SMS lừa đảo thúc giục họ khẩn trương đăng nhập vào tài khoản công ty của họ và đọc một tin nhắn quan trọng. Các tin nhắn chứa một liên kết bắt chước trang đăng nhập của công ty Coinbase, nhưng nó thực sự là một trang đích độc hại được thiết kế để đánh cắp dữ liệu nhạy cảm.
Trong khi hầu hết nhân viên không bị lừa bởi trò lừa đảo, một nhân viên đã mắc lừa và cung cấp cho tin tặc thông tin đăng nhập của họ. Tuy nhiên, tài khoản đã được bảo vệ bằng xác thực đa yếu tố (MFA), giúp hạn chế hành động của tin tặc. Tuy nhiên, họ không bỏ cuộc và gọi cho nạn nhân, giả vờ là bộ phận CNTT của công ty. Họ hướng dẫn nạn nhân đăng nhập vào máy trạm và làm theo các bước khác nhau.
Coinbase đã báo cáo rằng CSIRT (Nhóm ứng phó sự cố bảo mật máy tính) mất khoảng mười phút để xác định cuộc tấn công và liên hệ với nạn nhân về hoạt động đáng ngờ. Nạn nhân nhanh chóng nhận ra họ đang bị lừa đảo và ngừng liên lạc với kẻ tấn công.
Chiến dịch hiện tại có những điểm tương đồng với các chiến dịch lừa đảo Scatter Swine/0ktapus năm ngoái, mà các chuyên gia mạng từ Group-IB tiết lộ đã dẫn đến gần 1,000 thông tin đăng nhập truy cập công ty bị đánh cắp thông qua tin nhắn SMS lừa đảo. Mặc dù vậy, bên chịu trách nhiệm cho cuộc tấn công gần đây vẫn chưa được biết.
Dưới đây, Coinbase Giải thích cuộc tấn công đã xảy ra như thế nào.
“Tl;dr – Coinbase gần đây đã trải qua một cuộc tấn công an ninh mạng nhắm vào một trong những nhân viên của mình. May mắn thay, các biện pháp kiểm soát không gian mạng của Coinbase đã ngăn kẻ tấn công truy cập trực tiếp vào hệ thống và ngăn chặn mọi tổn thất về tiền hoặc xâm phạm thông tin khách hàng. Chỉ một lượng dữ liệu hạn chế từ thư mục công ty của chúng tôi bị lộ. Coinbase tin tưởng vào tính minh bạch và chúng tôi muốn nhân viên, khách hàng và cộng đồng của mình biết chi tiết về cuộc tấn công này và chia sẻ Chiến thuật, Kỹ thuật và Quy trình (TTP) mà kẻ thù này sử dụng để mọi người có thể tự bảo vệ mình tốt hơn.
Khách hàng và nhân viên của Coinbase là mục tiêu thường xuyên của những kẻ lừa đảo. Lý do rất đơn giản – tiền tệ dưới mọi hình thức, kể cả tiền điện tử, chính xác là thứ mà tội phạm mạng đang theo đuổi. Không khó để hiểu tại sao rất nhiều đối thủ không ngừng tìm cách kiếm lợi nhuận nhanh chóng.
Đối phó với một số lượng lớn các đối thủ và thách thức an ninh mạng là một trong những lý do tại sao tôi thấy Coinbase là một nơi thú vị để làm việc. Trong bài viết này, chúng tôi sẽ thảo luận về một cuộc tấn công mạng thực tế và sự cố mạng liên quan mà chúng tôi đã xử lý gần đây tại Coinbase. Mặc dù tôi rất vui khi nói rằng trong trường hợp này không có tiền hoặc thông tin khách hàng nào bị ảnh hưởng, nhưng vẫn có những bài học quý giá cần rút ra. Tại Coinbase, chúng tôi tin vào sự minh bạch. Bằng cách nói chuyện cởi mở về các vấn đề bảo mật như thế này, tôi tin rằng chúng tôi làm cho cả cộng đồng an toàn hơn và nhận thức rõ hơn về bảo mật.
Câu chuyện của chúng tôi bắt đầu vào cuối ngày Chủ nhật, ngày 5 tháng 2023 năm XNUMX. Một số điện thoại di động của nhân viên bắt đầu báo tin nhắn SMS cho biết họ cần đăng nhập khẩn cấp qua liên kết được cung cấp để nhận một tin nhắn quan trọng. Trong khi đa số phớt lờ thông báo không báo trước này – một nhân viên, tin rằng đó là một thông báo quan trọng và hợp pháp, đã nhấp vào liên kết và nhập tên người dùng và mật khẩu của họ. Sau khi “đăng nhập”, nhân viên được nhắc bỏ qua tin nhắn và được cảm ơn vì đã tuân thủ.
Điều xảy ra tiếp theo là kẻ tấn công, được trang bị tên người dùng và mật khẩu hợp pháp của nhân viên Coinbase, đã nhiều lần cố gắng giành quyền truy cập từ xa vào Coinbase. May mắn thay, các biện pháp kiểm soát không gian mạng của chúng tôi đã sẵn sàng. Kẻ tấn công không thể cung cấp thông tin đăng nhập Xác thực đa yếu tố (MFA) bắt buộc – và đã bị chặn truy cập. Trong nhiều trường hợp, đó sẽ là kết thúc của câu chuyện. Nhưng đây không chỉ là bất kỳ kẻ tấn công nào. Chúng tôi tin rằng cá nhân này có liên quan đến một chiến dịch tấn công tinh vi và dai dẳng nhắm vào nhiều công ty kể từ năm ngoái.
Khoảng 20 phút sau, điện thoại di động của nhân viên chúng tôi đổ chuông. Kẻ tấn công tuyên bố đến từ công ty Công nghệ thông tin (IT) của Coinbase và chúng cần sự giúp đỡ của nhân viên. Tin rằng họ đang nói chuyện với một nhân viên CNTT hợp pháp của Coinbase, nhân viên này đã đăng nhập vào máy trạm của họ và bắt đầu làm theo hướng dẫn của kẻ tấn công. Điều đó bắt đầu qua lại giữa kẻ tấn công và một nhân viên ngày càng đáng ngờ. Khi cuộc trò chuyện tiến triển, các yêu cầu ngày càng đáng ngờ hơn. Rất may là không có khoản tiền nào bị lấy đi và không có thông tin khách hàng nào bị truy cập hoặc xem, nhưng một số thông tin liên hệ hạn chế dành cho nhân viên của chúng tôi đã bị lấy đi, cụ thể là tên nhân viên, địa chỉ e-mail và một số số điện thoại.
May mắn thay, Nhóm ứng phó sự cố bảo mật máy tính (CSIRT) của chúng tôi đã giải quyết vấn đề này trong vòng 10 phút đầu tiên sau cuộc tấn công. CSIRT của chúng tôi đã được cảnh báo về hoạt động bất thường bởi hệ thống Quản lý sự cố và sự cố bảo mật (SIEM) của chúng tôi. Ngay sau đó, một trong những người ứng phó sự cố của chúng tôi đã liên hệ với nạn nhân thông qua hệ thống nhắn tin Coinbase nội bộ của chúng tôi để hỏi về một số hành vi bất thường và kiểu sử dụng liên quan đến tài khoản của họ. Nhận thấy có điều gì đó không ổn nghiêm trọng, nhân viên này đã chấm dứt mọi liên lạc với kẻ tấn công.
Nhóm CSIRT của chúng tôi đã ngay lập tức đình chỉ mọi quyền truy cập của nhân viên bị hại và tiến hành một cuộc điều tra đầy đủ. Do môi trường kiểm soát theo lớp của chúng tôi, không có khoản tiền nào bị mất và không có thông tin khách hàng nào bị xâm phạm. Việc dọn dẹp diễn ra tương đối nhanh chóng, nhưng vẫn có rất nhiều bài học cần rút ra ở đây.
Bất cứ ai cũng có thể được thiết kế xã hội
Con người là sinh vật xã hội. Chúng tôi muốn hòa hợp với nhau. Chúng tôi muốn trở thành một phần của đội. Nếu bạn nghĩ rằng bạn không thể bị lừa bởi một chiến dịch kỹ thuật xã hội được thực hiện tốt – thì bạn đang tự đùa mình đấy. Trong hoàn cảnh phù hợp, gần như bất kỳ ai cũng có thể là nạn nhân.
Cuộc tấn công khó chống lại nhất là cuộc tấn công kỹ thuật xã hội tiếp xúc trực tiếp, giống như cuộc tấn công mà nhân viên của chúng tôi phải chịu đựng ở đây. Đây là nơi kẻ tấn công liên hệ trực tiếp với bạn qua phương tiện truyền thông xã hội, điện thoại di động của bạn hoặc thậm chí tệ hơn là đi đến nhà hoặc địa điểm kinh doanh của bạn. Những cuộc tấn công này không phải là mới. Trên thực tế, những kiểu tấn công này chắc chắn đã xảy ra từ những ngày đầu của loài người. Đó là một chiến thuật yêu thích của kẻ thù ở khắp mọi nơi – bởi vì nó hiệu quả.
Vậy ta phải làm sao? Làm thế nào để chúng ta ngăn chặn điều này xảy ra?
Tôi xin nói đây chỉ là vấn đề đào tạo. Rằng khách hàng, nhân viên và mọi người ở mọi nơi cần được đào tạo tốt hơn. Họ cần phải làm tốt hơn – sẽ luôn có một số sự thật về điều đó. Nhưng với tư cách là các chuyên gia an ninh mạng, đó không thể là cái cớ giải pháp mà chúng tôi tìm đến mỗi khi điều này xảy ra. Nghiên cứu lặp đi lặp lại cho thấy rằng cuối cùng thì tất cả mọi người đều có thể bị lừa, cho dù họ có tỉnh táo, có kỹ năng và chuẩn bị kỹ càng đến đâu. Chúng ta phải luôn làm việc với giả định rằng những điều tồi tệ sẽ xảy ra. Chúng ta cần phải liên tục đổi mới để giảm thiểu hiệu quả của các cuộc tấn công này đồng thời cố gắng cải thiện trải nghiệm tổng thể của khách hàng và nhân viên của chúng ta.
Bạn có thể chia sẻ bất kỳ Chiến thuật, Kỹ thuật và Quy trình (TTP) nào không?
Chúng tôi chắc chắn có thể. Với phạm vi rộng lớn của các công ty là mục tiêu của tác nhân này, chúng tôi muốn mọi người biết những gì chúng tôi biết. Dưới đây là một vài điều cụ thể mà chúng tôi khuyên bạn nên tìm kiếm trong nhật ký công ty/SIEM của mình:
Mọi lưu lượng truy cập web từ tài sản công nghệ của bạn đến các địa chỉ sau, trong đó * đại diện cho tên công ty hoặc tổ chức của bạn:
sso-*.com
*-sso.com
đăng nhập.*-sso.com
bảng điều khiển-*.com
*-dashboard.com
Mọi lượt tải xuống hoặc đã thử tải xuống của các trình xem máy tính từ xa sau:
AnyDesk (anydesk chấm com)
ISL trực tuyến (islonline dot com)
Mọi nỗ lực truy cập vào tổ chức của bạn từ nhà cung cấp VPN bên thứ ba, cụ thể là Mullvad VPN.
Cuộc gọi điện thoại/tin nhắn văn bản đến từ các nhà cung cấp sau:
Google Voice
Skype
Vonage/Nexmo
Băng thông chấm com”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/
