Πρόσφατα εμφανίστηκε μια ύπουλη κυβερνοεπίθεση με στόχο την εξαπάτηση των υπαλλήλων της Coinbase μέσω ψεύτικων ειδοποιήσεων SMS.
Σε μια πρόσφατη παραβίαση, ένας ανώνυμος απειλητικός παράγοντας κατάφερε να αποκτήσει πρόσβαση στα συστήματα της Coinbase κλέβοντας τα στοιχεία σύνδεσης ενός υπαλλήλου της. Το περιστατικό αυτό υπογραμμίζει τη σημασία που έχει για τις εταιρείες και τους ιδιώτες να λαμβάνουν επιπλέον μέτρα ασφαλείας όταν συναλλάσσονται με ανταλλακτήρια κρυπτονομισμάτων.
Μετά την εισβολή, ο εισβολέας απέκτησε πρόσβαση σε στοιχεία επικοινωνίας από πολλούς υπαλλήλους της Coinbase, ωστόσο τα κεφάλαια και τα δεδομένα των πελατών δεν επηρεάστηκαν.
Η Coinbase μοιράστηκε τα ευρήματα της έρευνάς της για να βοηθήσει άλλες εταιρείες να εντοπίσουν τις τακτικές, τις τεχνικές και τη διαδικασία (TTPs) του απειλητικού παράγοντα και να δημιουργήσουν τις κατάλληλες άμυνες.
Δείτε επίσης: Κυβερνοεπίθεση στο δίκτυο υπολογιστών του FBI
Δείτε επίσης: GoDaddy: Χάκερς έκλεψαν source code και εγκατέστησαν malware στους servers
Λεπτομέρειες της επίθεσης
Ο εισβολέας στόχευσε αρκετούς μηχανικούς της Coinbase την Κυριακή 5 Φεβρουαρίου με ειδοποιήσεις SMS που τους προέτρεπαν να συνδεθούν στους εταιρικούς λογαριασμούς τους για να διαβάσουν ένα σημαντικό μήνυμα.
Παρά το γεγονός ότι η πλειονότητα των εργαζομένων αγνόησε τα μηνύματα, ένα άτομο δυστυχώς εξαπατήθηκε και ακολούθησε έναν σύνδεσμο προς μια σελίδα ηλεκτρονικού “ψαρέματος”. Αφού εισήγαγε τα στοιχεία σύνδεσής του, του ζητήθηκε ένα απροσδόκητο ευχαριστώ πριν του ειπωθεί να αγνοήσει αυτό που είχε συμβεί.
Στην επόμενη φάση, ο εισβολέας προσπάθησε να συνδεθεί στα εσωτερικά συστήματα της Coinbase χρησιμοποιώντας τα κλεμμένα credentials αλλά απέτυχε επειδή η πρόσβαση προστατεύτηκε με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Περίπου είκοσι λεπτά αργότερα, ο επιτιθέμενος άλλαξε την προσέγγισή του. Κάλεσε τον υπάλληλο προσποιούμενος τον ειδικό πληροφορικής της Coinbase και του είπε να συνδεθεί στον υπολογιστή του και να συμμορφωθεί με συγκεκριμένες οδηγίες.
Δείτε επίσης: Earth Kitsune: Χρησιμοποιεί το νέο WhiskerSpy malware στις επιθέσεις της
Η Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας Υπολογιστών (CSIRT) της Coinbase εντόπισε ύποπτη δραστηριότητα στο σύστημά της μόλις 10 λεπτά μετά την έναρξη της επίθεσης και επικοινώνησε αμέσως με το θύμα. Τότε ο υπάλληλος κατάλαβε ότι κάτι δεν πήγαινε καλά και διέκοψε την επικοινωνία με τον εισβολέα.
Για όσους δεν γνωρίζουν: Η Coinbase είναι μια πλατφόρμα ανταλλαγής ψηφιακών νομισμάτων που ιδρύθηκε το 2012. Επιτρέπει στους χρήστες να αγοράζουν και να πωλούν κρυπτονομίσματα με fiat currencies (δηλαδή κανονικά χρήματα που εκδίδονται από την κυβέρνηση), καθώς και να τα αποθηκεύουν με ασφάλεια στην πλατφόρμα της. Αυτή τη στιγμή υποστηρίζει πάνω από 50 διαφορετικούς τύπους κρυπτονομισμάτων, ενώ προστίθενται τακτικά και άλλα.
Πηγή πληροφοριών: bleepingcomputer.com
