Ang mga empleyado ng Coinbase ay na-target sa isang pag-atake sa cybersecurity noong Peb. 5 na kinasasangkutan ng mga SMS scam at ang mga pagpapanggap ng IT staff, ayon sa sa isang kamakailang ulat mula sa engineering team ng kumpanya. Walang mga pondo o impormasyon ng mga customer ang naapektuhan, sabi ng crypto exchange.
Ayon sa ulat, noong huling bahagi ng Linggo ilang empleyado ng Coinbase ang nakatanggap ng mga mensaheng SMS na nangangailangan sa kanila na agarang mag-log in sa pamamagitan ng link na ibinigay upang ma-access ang isang mahalagang mensahe. Kumilos nang may mabuting pananampalataya, sinunod ng isang empleyado ang mga tagubilin ng mapagsamantala:
“Habang binabalewala ng karamihan ang hindi na-prompt na mensaheng ito – isang empleyado, na naniniwalang ito ay isang mahalaga at lehitimong mensahe, nag-click sa link at pumasok sa kanilang username at password. Pagkatapos ng 'pag-log in,' ang empleyado ay ipo-prompt na huwag pansinin ang mensahe at magpasalamat sa pagsunod."
Pagkatapos ay gumawa ng paulit-ulit na pagtatangka ang salarin upang makakuha ng malayuang pag-access sa mga panloob na sistema ng Coinbase gamit ang username at password ng empleyado, ngunit hindi nakadaan sa panukalang panseguridad ng Multi-Factor Authentication (MFA).
Matapos mabigong ma-authenticate at awtomatikong ma-block, nakipag-ugnayan ang mapagsamantala sa empleyado sa pamamagitan ng telepono. Ayon sa ulat, inangkin ng attacker na siya ang IT department ng Coinbase at humingi ng tulong sa empleyado:
“Sa paniniwalang nakikipag-usap sila sa isang lehitimong miyembro ng kawani ng Coinbase IT, nag-log in ang empleyado sa kanilang workstation at nagsimulang sundin ang mga tagubilin ng umaatake. Nagsimula iyon ng pabalik-balik sa pagitan ng umaatake at isang lalong kahina-hinalang empleyado. Habang umuusad ang pag-uusap, lalong naging kahina-hinala ang mga kahilingan.”
Ang Computer Security Incident Response Team (CSIRT) ng Coinbase ay inalertuhan tungkol sa isang hindi pangkaraniwang aktibidad ng sistema nito sa Security Incident and Event Management (SIEM). Isang incident responder ang nakipag-ugnayan sa biktima sa pamamagitan ng internal messaging system ng kumpanya bilang tugon sa hindi tipikal na gawi.
"Napagtanto na may isang bagay na seryosong mali, tinapos ng empleyado ang lahat ng komunikasyon sa umaatake," sabi ng ulat. Ayon sa Coinbase, ang layered control environment nito ay nagpoprotekta sa mga pondo at impormasyon ng customer, kahit na ang ilan sa impormasyon ng tauhan nito ay nakompromiso.
Naniniwala ang kumpanya na ang pag-atake ay nauugnay sa isang sopistikadong kampanya sa pag-atake na naka-target sa maraming kumpanya mula noong nakaraang taon, lalo na sa Estados Unidos. Ang kumpanya ng Cybersecurity na Group-IB iniulat noong Agosto ang mga katulad na pag-atake ng phishing sa mga empleyado ng Twilio at Cloudflare bilang bahagi ng isang napakalaking kampanya na nagtatapos sa 9,931 account ng mahigit 130 organisasyon na nakompromiso.
Napansin din ng koponan ng Coinbase na ang mga customer at empleyado nito ay madalas na target ng mga manloloko, at ang solusyon ay nasa pagbibigay ng naaangkop na pagsasanay:
“Paulit-ulit na ipinapakita ng pananaliksik na ang lahat ng tao ay maaaring malinlang sa kalaunan, gaano man sila kaalerto, sanay, at kahandaan. Dapat tayong palaging magtrabaho mula sa pag-aakala na ang masasamang bagay ay mangyayari. Kailangan nating patuloy na mag-innovate para mapawi ang pagiging epektibo ng mga pag-atakeng ito habang nagsusumikap din na mapabuti ang pangkalahatang karanasan ng ating mga customer at empleyado."
Pinagmulan: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees