Ngày 21 tháng 2 năm 2023Ravie LakshmananKỹ thuật xã hội / Tiền điện tử
Nền tảng trao đổi tiền điện tử phổ biến coinbase tiết lộ rằng họ đã trải qua một cuộc tấn công an ninh mạng nhắm vào nhân viên của mình.
Công ty cho biết “các biện pháp kiểm soát mạng đã ngăn chặn kẻ tấn công truy cập trực tiếp vào hệ thống và ngăn chặn mọi tổn thất về tiền hoặc xâm phạm thông tin khách hàng.”
Sự cố xảy ra vào ngày 5 tháng 2 năm 2023 đã dẫn đến việc lộ “một lượng dữ liệu hạn chế” từ danh bạ của nó, bao gồm tên nhân viên, địa chỉ email và một số số điện thoại.
Là một phần của cuộc tấn công, một số nhân viên đã bị nhắm mục tiêu trong một chiến dịch lừa đảo qua SMS thúc giục họ đăng nhập vào tài khoản công ty của họ để đọc một tin nhắn quan trọng.
Một nhân viên được cho là đã mắc bẫy lừa đảo, người này đã nhập tên người dùng và mật khẩu của họ vào một trang đăng nhập giả do những kẻ đe dọa thiết lập để thu thập thông tin đăng nhập.
“Sau khi ‘đăng nhập', nhân viên được nhắc bỏ qua tin nhắn và cảm ơn vì đã tuân thủ”, công ty cho biết. “Điều xảy ra tiếp theo là kẻ tấn công […] đã thực hiện nhiều nỗ lực để có quyền truy cập từ xa vào Coinbase.”
Những nỗ lực đăng nhập vào hệ thống bằng thông tin đăng nhập đã thu thập được chứng minh là không thành công do các biện pháp bảo vệ xác thực đa yếu tố đã được bật cho tài khoản.
Không nản lòng, kẻ đe dọa đã gọi cho nhân viên tự xưng là từ nhóm Công nghệ thông tin (CNTT) của công ty Coinbase và hướng dẫn cá nhân này đăng nhập vào máy trạm của họ và làm theo một bộ hướng dẫn.
“Điều đó bắt đầu qua lại giữa kẻ tấn công và một nhân viên ngày càng đáng ngờ,” Coinbase giải thích. “Khi cuộc trò chuyện tiến triển, các yêu cầu ngày càng đáng ngờ hơn.”
Công ty cho biết họ đã được cảnh báo trong vòng 10 phút đầu tiên sau vụ tấn công và những người ứng phó sự cố của họ đã liên hệ với nạn nhân để hỏi về hoạt động đáng ngờ từ tài khoản của họ, khiến người này cắt đứt mọi liên lạc với kẻ thù.
Coinbase đã không giải thích chi tiết về các hướng dẫn chính xác mà kẻ đe dọa đã đưa ra cho nhân viên, nhưng kêu gọi các công ty khác cảnh giác với những nỗ lực tiềm ẩn để cài đặt phần mềm máy tính từ xa như AnyDesk hoặc ISL Online cũng như tiện ích mở rộng hợp pháp của Google Chrome có tên EditThisCookie.
Nó cũng cảnh báo về các cuộc gọi điện thoại và tin nhắn văn bản đến từ các nhà cung cấp cụ thể như Google Voice, Skype, Vonage/Nexmo và Bandwidth.
Coinbase lưu ý thêm rằng cuộc tấn công có khả năng liên quan đến chiến dịch lừa đảo tinh vi được gọi là 0ktapus (hay còn gọi là Scatter Swine) nhắm vào hơn 130 công ty, bao gồm Twilio, Cloudflare, MailChimp và Signal, trong số những công ty khác vào năm ngoái.
