Popüler kripto para borsa platformu Coinbase, çalışanlarını hedef alan bir siber güvenlik saldırısı yaşadığını açıkladı.
Şirket, “siber kontrollerinin saldırganın doğrudan sisteme erişmesini engellediğini ve herhangi bir para kaybını veya müşteri bilgilerinin ele geçirilmesini önlediğini” söyledi.
5 Şubat 2023’te meydana gelen olay, çalışan adları, e-posta adresleri ve bazı telefon numaraları da dahil olmak üzere dizininden “sınırlı miktarda verinin” açığa çıkmasına neden oldu.
Saldırının bir parçası olarak, birkaç çalışan, önemli bir mesajı okumak için şirket hesaplarında oturum açmaya çağıran bir SMS kimlik avı kampanyasında hedef alındı.
Kimlik bilgilerini toplamak için tehdit aktörleri tarafından kurulan sahte bir giriş sayfasına kullanıcı adını ve şifresini giren bir çalışanın dolandırıcılığa düştüğü söyleniyor.
Şirket, “Giriş yaptıktan sonra, çalışandan mesajı dikkate almaması isteniyor ve uyduğu için teşekkür ediliyor” dedi. “Daha sonra olan şey, saldırganın […] Coinbase’e uzaktan erişim elde etmek için defalarca girişimde bulundu.”
Ele geçirilen kimlik bilgilerini kullanarak sistemlere giriş yapmaya yönelik bu girişimler, hesap için etkinleştirilen çok faktörlü kimlik doğrulama korumaları nedeniyle başarısız oldu.
Tehdit aktörü yılmadan, Coinbase kurumsal Bilgi Teknolojisi (BT) ekibinden olduğunu iddia eden çalışanı aradı ve kişiyi iş istasyonlarına giriş yapması ve bir dizi talimatı uygulaması için yönlendirdi.
Coinbase, “Bu, saldırgan ile giderek daha fazla şüphelenen bir çalışan arasında gidip gelmeye başladı” dedi. “Görüşme ilerledikçe, talepler giderek daha şüpheli hale geldi.”
Şirket, saldırıdan sonraki ilk 10 dakika içinde alarma geçirildiğini ve olaya müdahale ekiplerinin, hesaplarındaki şüpheli etkinliği sorgulamak için kurbana ulaştığını ve kişinin düşmanla tüm iletişimini kesmesini istediğini söyledi.
Coinbase, tehdit aktörünün çalışana verdiği talimatları tam olarak açıklamadı, ancak diğer şirketleri AnyDesk veya ISL Online gibi uzak masaüstü yazılımlarının yanı sıra EditThisCookie adlı yasal bir Google Chrome uzantısı yüklemeye yönelik olası girişimlere karşı tetikte olmaya çağırdı.
Ayrıca Google Voice, Skype, Vonage/Nexmo ve Bandwidth gibi belirli sağlayıcılardan gelen telefon aramaları ve metin mesajları konusunda da uyarıda bulundu.
Coinbase ayrıca, saldırının muhtemelen geçen yıl Twilio, Cloudflare, MailChimp ve Signal dahil olmak üzere 130’dan fazla şirketi hedef alan 0ktapus (Scatter Swine) olarak bilinen gelişmiş kimlik avı kampanyasıyla bağlantılı olduğunu belirtti.