该公司表示,没有客户的资金或信息受到影响。Coinbase 工程团队认为,这次攻击与复杂的网络钓鱼活动有关。
加密货币交易所 Coinbase 在 2 月 5 每天对其员工进行网络安全攻击。根据 该公司工程团队最近的一份报告通过短信欺诈进行了攻击,涉及 IT 冒充人员。该公司表示,没有客户的资金或信息受到影响。
根据报告,周日晚些时候,有几个人 Coinbase 员工收到短信,要求他们通过提供的链接紧急登录以访问重要信息。出于善意,一名员工听从了剥削者的指示:
“虽然大多数人忽略了这个自发信息——一个员工认为这是一个重要和合法的信息,点击链接并输入他们的用户名和密码。”登录后,系统提示员工忽略信息,并感谢他遵守。”
随后,犯罪分子多次尝试远程访问员工的用户名和密码 Coinbase 内部系统,但不能通过多重身份验证 (MFA) 安全措施。
在验证失败被自动屏蔽后,攻击者通过电话联系了该员工。报告称,攻击者声称是 Coinbase 的 IT 该部门并向员工寻求帮助:
“我相信他们和一个合法的人在一起 Coinbase IT 员工说话时,员工登录工作站,开始按照攻击者的指示操作。这开始了攻击者和一个越来越可疑的员工之间的来回交流。随着谈话的进行,请求变得越来越可疑。”
Coinbase 计算机安全事件响应小组 (CSIRT) 收到安全事件和事件管理 (SIEM) 该系统的异常活动报警。一名事件响应者通过公司的内部信息系统联系了受害者,以应对这种非典型行为。
该报告称,“员工终止了与攻击者的所有通信,意识到事情严重错误”。据报道 Coinbase 即使部分人员的信息被泄露,其分层控制环境也能保护客户的资金和信息。
该公司认为,这一攻击与去年以来对许多公司的复杂攻击有关,特别是在美国。网络安全公司 Group-IB于 2022 年 8 针对月报告 Twilio 和 Cloudflare 员工类似的网络钓鱼攻击是大规模攻击活动的一部分,最终导致 130 多个组织的 9,931 入侵一个账户。
Coinbase 该团队还指出,其客户和员工往往是欺诈者的目标,解决方案是提供适当的培训:
“研究一再表明,无论他们多么聪明、熟练和准备充分,每个人最终都可能被愚弄。我们必须始终假设坏事会发生。我们需要不断创新,削弱这些攻击,努力改善客户和员工的整体体验。”