صرافی رمزارز Coinbase در 5 فوریه یک حمله امنیتی سایبری را با هدف قرار دادن کارکنان خود تجربه کرد. با توجه به گزارش اخیر تیم مهندسی این شرکت. این شرکت گفت که هیچ سرمایه یا اطلاعات مشتریان تحت تأثیر قرار نگرفت.
طبق این گزارش، در اواخر یکشنبه، چندین کارمند Coinbase پیامک هایی دریافت کردند که از آنها می خواستند فوراً از طریق پیوند ارائه شده برای دسترسی به یک پیام مهم وارد شوند. با حسن نیت، یکی از کارکنان دستورالعمل های استثمارگر را دنبال کرد:
“در حالی که اکثریت این پیام بدون درخواست را نادیده می گیرند – یکی از کارمندان، با این باور که پیام مهم و قانونی است، روی پیوند کلیک می کند و نام کاربری و رمز عبور خود را وارد می کند. پس از “ورود به سیستم”، از کارمند خواسته می شود که پیام را نادیده بگیرد و از رعایت آن تشکر می کند. ”
سپس مجرم تلاش های مکرری برای دسترسی از راه دور به سیستم های داخلی کوین بیس با نام کاربری و رمز عبور کارمند انجام داد، اما نتوانست از معیار امنیتی چند عاملی (MFA) عبور کند.
پس از عدم موفقیت در احراز هویت و مسدود شدن خودکار، بهرهبردار از طریق تلفن با کارمند تماس گرفت. بر اساس این گزارش، مهاجم ادعا می کند که بخش فناوری اطلاعات کوین بیس است و از کارمند درخواست کمک کرده است:
کارمند با این باور که آنها با یکی از کارکنان قانونی Coinbase IT صحبت می کنند، به ایستگاه کاری خود وارد شد و شروع به پیروی از دستورالعمل های مهاجم کرد. این شروع به رفت و برگشت بین مهاجم و یک کارمند مشکوک فزاینده شد. همانطور که گفتگو پیش می رفت، درخواست ها دریافت می شدند. مشکوک تر و بیشتر می شود.”
تیم پاسخگویی به حوادث امنیتی رایانه ای کوین بیس (CSIRT) در مورد یک فعالیت غیرعادی توسط سیستم مدیریت حوادث و رویدادهای امنیتی (SIEM) آن هشدار داده شد. یک پاسخ دهنده حادثه از طریق سیستم پیام رسانی داخلی شرکت در پاسخ به رفتار غیر معمول با قربانی تماس گرفت.
در این گزارش آمده است: «با فهمیدن اشتباهی جدی، کارمند تمام ارتباطات خود را با مهاجم قطع کرد». به گفته کوین بیس، محیط کنترل لایه ای آن از سرمایه و اطلاعات مشتری محافظت می کند، حتی اگر برخی از اطلاعات پرسنل آن به خطر افتاده باشد.
این شرکت معتقد است که این حمله با یک کمپین حمله پیچیده مرتبط است که از سال گذشته بسیاری از شرکت ها را هدف قرار داده است، به ویژه در ایالات متحده. شرکت امنیت سایبری Group-IB گزارش شده است در آگوست 2022 حملات فیشینگ مشابهی به کارمندان Twilio و Cloudflare به عنوان بخشی از یک کمپین عظیم که به 9931 حساب بیش از 130 سازمان خاتمه یافت.
تیم Coinbase همچنین خاطرنشان کرد که مشتریان و کارمندان آن هدف مکرر کلاهبرداران هستند و راه حل در ارائه آموزش های مناسب نهفته است:
“تحقیقات بارها و بارها نشان می دهد که همه مردم را می توان فریب داد، صرف نظر از اینکه چقدر هوشیار، ماهر و آماده هستند. ما باید همیشه با این فرض کار کنیم که اتفاقات بدی رخ خواهد داد. ما باید دائما در حال نوآوری باشیم تا اثربخشی را کم رنگ کنیم. این حملات در عین حال تلاش برای بهبود تجربه کلی مشتریان و کارمندان ما است.”
