Os funcionários da Coinbase foram alvo de um ataque de segurança cibernética em 5 de fevereiro envolvendo golpes de SMS e falsificações da equipe de TI, segundo a um relatório recente da equipe de engenharia da empresa. Os fundos ou informações de nenhum cliente foram afetados, disse a exchange de criptomoedas.
De acordo com o relatório, no final do domingo, vários funcionários da Coinbase receberam mensagens SMS exigindo que eles fizessem login com urgência por meio do link fornecido para acessar uma mensagem importante. Agindo de boa fé, um funcionário seguiu as instruções do explorador:
“Enquanto a maioria ignora esta mensagem espontânea – um funcionário, acreditando que é uma mensagem importante e legítima, clica no link e digita seu nome de usuário e senha. Depois de 'fazer login', o funcionário é solicitado a desconsiderar a mensagem e é agradecido por obedecer.”
O perpetrador então fez repetidas tentativas de obter acesso remoto aos sistemas internos da Coinbase com o nome de usuário e a senha do funcionário, mas não conseguiu passar pela medida de segurança de autenticação multifator (MFA).
Após não conseguir autenticar e ser bloqueado automaticamente, o explorador entrou em contato com o funcionário por telefone. De acordo com o relatório, o invasor alegou ser o departamento de TI da Coinbase e pediu ajuda ao funcionário:
“Acreditando que eles estavam falando com um membro legítimo da equipe de TI da Coinbase, o funcionário se conectou em sua estação de trabalho e começou a seguir as instruções do invasor. Isso deu início a uma discussão entre o invasor e um funcionário cada vez mais suspeito. À medida que a conversa avançava, os pedidos ficavam cada vez mais suspeitos.”
A equipe de resposta a incidentes de segurança de computadores da Coinbase (CSIRT) foi alertada sobre uma atividade incomum por seu sistema de gerenciamento de eventos e incidentes de segurança (SIEM). Um respondente do incidente entrou em contato com a vítima por meio do sistema de mensagens interno da empresa em resposta ao comportamento atípico.
“Percebendo que algo estava seriamente errado, o funcionário encerrou todas as comunicações com o invasor”, disse o relatório. De acordo com a Coinbase, seu ambiente de controle em camadas protegeu os fundos e as informações dos clientes, mesmo que algumas de suas informações pessoais tenham sido comprometidas.
A empresa acredita que o ataque está associado a uma campanha de ataque sofisticada que tem como alvo muitas empresas desde o ano passado, especialmente nos Estados Unidos. Empresa de segurança cibernética Group-IB relatado em agosto, ataques de phishing semelhantes a funcionários da Twilio e Cloudflare como parte de uma campanha massiva que terminou com 9,931 contas de mais de 130 organizações comprometidas.
A equipe da Coinbase também observou que seus clientes e funcionários são alvos frequentes de fraudadores, e a solução está em oferecer treinamento adequado:
“A pesquisa mostra repetidas vezes que todas as pessoas podem ser enganadas eventualmente, não importa o quão alertas, habilidosos e preparados estejam. Devemos sempre trabalhar partindo do pressuposto de que coisas ruins acontecerão. Precisamos estar constantemente inovando para atenuar a eficácia desses ataques e, ao mesmo tempo, nos esforçar para melhorar a experiência geral de nossos clientes e funcionários”.
Fonte: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees