Coinbase-ის თანამშრომლები მიზანმიმართულნი იყვნენ კიბერუსაფრთხოების თავდასხმაში 5 თებერვალს, რაც მოიცავდა SMS თაღლითობას და IT პერსონალის იმიტაციას. მიხედვით კომპანიის საინჟინრო გუნდის ბოლო მოხსენებაში. კრიპტო ბირჟაზე აცხადებენ, რომ კლიენტების სახსრები ან ინფორმაცია არ იმოქმედებს.
მოხსენების თანახმად, გვიან კვირას Coinbase-ის რამდენიმე თანამშრომელმა მიიღო SMS შეტყობინებები, რომლებშიც მათ სასწრაფოდ შესვლა სთხოვეს მნიშვნელოვანი შეტყობინების მისაღებად მოწოდებული ბმულის საშუალებით. კეთილსინდისიერად მოქმედებდა, ერთმა თანამშრომელმა მიჰყვა ექსპლუატატორის მითითებებს:
„მიუხედავად იმისა, რომ უმრავლესობა იგნორირებას უკეთებს ამ გაუგებარ შეტყობინებას - ერთი თანამშრომელი, მიაჩნია, რომ ეს მნიშვნელოვანი და ლეგიტიმური მესიჯია, დააწკაპუნებს ბმულს და შეაქვს მომხმარებლის სახელი და პაროლი. „შესვლის“ შემდეგ თანამშრომელს სთხოვენ, უგულებელყოს შეტყობინება და მადლობა გადაუხადა შესრულებისთვის“.
ამის შემდეგ დამნაშავემ განმეორებით სცადა, მიეღო დისტანციური წვდომა Coinbase-ის შიდა სისტემებზე თანამშრომლის მომხმარებლის სახელითა და პაროლით, მაგრამ ვერ შეძლო მრავალფაქტორიანი ავთენტიფიკაციის (MFA) უსაფრთხოების ზომების გავლა.
მას შემდეგ, რაც ავთენტიფიკაცია ვერ მოხერხდა და ავტომატურად დაიბლოკა, ექსპლუატატორი ტელეფონით დაუკავშირდა თანამშრომელს. მოხსენების თანახმად, თავდამსხმელმა განაცხადა, რომ იყო Coinbase-ის IT დეპარტამენტი და თანამშრომელს დახმარება სთხოვა:
„დარწმუნებული იყო, რომ ისინი საუბრობდნენ Coinbase IT პერსონალის ლეგიტიმურ წევრთან, თანამშრომელი შევიდა მათ სამუშაო სადგურში და დაიწყო თავდამსხმელის მითითებების შესრულება. ამან დაიწყო თავდასხმა თავდამსხმელსა და სულ უფრო საეჭვო თანამშრომელს შორის. რაც უფრო ვითარდებოდა საუბარი, მოთხოვნები უფრო და უფრო საეჭვო ხდებოდა“.
Coinbase-ის კომპიუტერული უსაფრთხოების ინციდენტების რეაგირების გუნდს (CSIRT) გაფრთხილებული იქნა უჩვეულო აქტივობის შესახებ მისი უსაფრთხოების ინციდენტებისა და მოვლენის მართვის (SIEM) სისტემით. ინციდენტის მოპასუხე დაუკავშირდა მსხვერპლს კომპანიის შიდა შეტყობინებების სისტემის მეშვეობით ატიპიური ქცევის საპასუხოდ.
„როგორც მიხვდა, რომ რაღაც სერიოზულად არასწორი იყო, თანამშრომელმა შეწყვიტა ყველა კომუნიკაცია თავდამსხმელთან“, - ნათქვამია მოხსენებაში. Coinbase-ის თანახმად, მისი ფენიანი კონტროლის გარემო იცავდა კლიენტების სახსრებს და ინფორმაციას, მიუხედავად იმისა, რომ მისი პერსონალის ზოგიერთი ინფორმაცია კომპრომეტირებული იყო.
აქვს კომპანიას სჯერა, რომ თავდასხმა დაკავშირებულია დახვეწილ თავდასხმის კამპანიასთან, რომელიც გასული წლის შემდეგ ბევრ კომპანიას უმიზნებდა, განსაკუთრებით შეერთებულ შტატებში. კიბერუსაფრთხოების კომპანია Group-IB იტყობინება აგვისტოში მსგავსი ფიშინგური თავდასხმები Twilio-სა და Cloudflare-ის თანამშრომლებზე, როგორც მასიური კამპანიის ნაწილი, რომელიც დასრულდა 9,931-ზე მეტი ორგანიზაციის 130 ანგარიშის დარღვევით.
Coinbase-ის გუნდმა ასევე აღნიშნა, რომ მისი მომხმარებლები და თანამშრომლები არიან თაღლითების ხშირი სამიზნეები და გამოსავალი მდგომარეობს შესაბამისი ტრენინგის შეთავაზებაში:
”კვლევა ისევ და ისევ აჩვენებს, რომ ყველა ადამიანის მოტყუება შეიძლება საბოლოოდ, მიუხედავად იმისა, თუ რამდენად ფხიზლად, ოსტატურად და მომზადებულნი არიან ისინი. ჩვენ ყოველთვის უნდა ვიმუშაოთ იმ ვარაუდით, რომ ცუდი რამ მოხდება. ჩვენ მუდმივად უნდა ვიყოთ ინოვაციები, რათა შევამციროთ ამ თავდასხმების ეფექტურობა და ასევე ვცდილობთ გავაუმჯობესოთ ჩვენი მომხმარებლებისა და თანამშრომლების საერთო გამოცდილება.”
წყარო: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees