Kısa bir süre önce kimliği belirsiz bir tehdit aktörü, çalışanlarından birinin oturum açma bilgilerini çalarak Coinbase platformunun sistemlerine uzaktan erişim sağlamaya çalıştı.
Ünlü kripto para borsası platformu Coinbase, son güvenlik ihlali sırasında failin birkaç çalışanla ilişkili iletişim bilgilerini almayı başardığını bildirdi. Ancak şirket, ihlale rağmen müşteri verileri veya fonlarından taviz verilmediğini açıkladı.
Popüler kripto para borsa platformu Coinbase, şeffaflık taahhüdüne uygun olarak, son güvenlik ihlalinin ayrıntılarını çalışanları, müşterileri ve toplulukla paylaşmaya çalıştığını duyurdu.
Şirket, bu bilgilerin olayla ilgili değerli bilgiler sağlayacağına ve bu tür siber güvenlik tehditlerine karşı daha fazla farkındalık ve anlayış geliştirmeye yardımcı olacağına inanıyor.
Bu açıklama, diğer şirketlerin tehdit aktörü tarafından kullanılan TTP’leri belirlemesine ve gelecekteki saldırılara karşı uygun savunma önlemleri uygulamasına yardımcı olmayı amaçlamaktadır.
Coinbase Çiğneme
5 Şubat Pazar günü, çok sayıda Coinbase mühendisi bilinmeyen bir tehdit aktörünün saldırısına maruz kaldı. Bu ihlalde, saldırgan, önemli bir mesaj alıyormuş gibi davranarak onları şirket hesaplarına erişmeye ikna etmek için SMS bildirimlerini kullanmıştır.
Çalışanların çoğunluğunun SMS uyarılarını dikkate almamasına rağmen, bir kişi hileye aldandı ve verilen bağlantıya tıklamaya devam etti, bu da kimlik avı amacıyla tasarlanmış sahte bir web sayfasına yol açtı.
Etkilenen çalışana, oturum açma kimlik bilgilerini girdikten sonra, hesaplarının saldırgan tarafından ele geçirildiğinden habersiz kalarak, teşekkürlerini ifade eden ve SMS bildirimini dikkate almamalarını tavsiye eden bir mesaj gösterildi.
Ardından saldırgan, çalınan giriş bilgilerini kullanarak Coinbase’in dahili sistemlerine erişmeye çalıştı.
Ancak sistem, yetkisiz girişi önleyen ek bir güvenlik önlemi olarak Çok Faktörlü Kimlik Doğrulamayı (MFA) uyguladığından, çabaları etkisiz kaldı.
Saldırgan yaklaşık 20 dakika sonra taktik değiştirdi ve saldırgan tarafından farklı bir strateji benimsendi. Saldırgan, Coinbase BT ekibinin bir üyesi gibi davranarak etkilenen çalışanı telefonla aradı.
Bundan sonra, saldırgan takip etmeleri için ek yönergeler sağlarken onlara iş istasyonlarında oturum açmaları talimatını vermeye devam etti.
Coinbase’in Bilgisayar Güvenliği Olaylarına Müdahale Ekibi, saldırının başlamasından itibaren yalnızca 10 dakikalık bir süre içinde anormal etkinliği tespit etti ve hesabıyla bağlantılı tüm usulsüzlükleri araştırmak için etkilenen çalışanla derhal iletişime geçti.
Coinbase’in CSIRT’inden soruşturma aldıktan sonra, etkilenen çalışan önceki iletişimin gayri meşru doğasının farkına vardı ve söz konusu saldırganla daha fazla etkileşimi derhal sonlandırdı.
Gözlemlenen TTP’ler
Coinbase, saldırı sırasında gözlemlenen ve diğer kuruluşların benzer kötü niyetli girişimleri tanımasına ve önlemesine potansiyel olarak yardımcı olabilecek birkaç TTP’yi ifşa etti: –
- Kuruluşunuzun teknolojik varlıklarından kaynaklanan tüm web trafiğini takip eden adreslere izlemeniz önerilir;
- şirketinizin adını belirtir: -[.]sso-*
- iletişim[.]*-so
- iletişim[.]giriş yapın.*-sso
- iletişim[.]Gösterge Paneli-*
- iletişim[.]*-Gösterge Paneli
- iletişim
- Takip eden kaynaklardan aşağıdaki uzak masaüstü görüntüleyicilerin herhangi bir şekilde indirilmesi veya indirilmeye çalışılması konusunda dikkatli olunması önerilir:-
- AnyDesk (anydesk nokta com)
- ISL Çevrimiçi (islonline nokta com)
- Üçüncü taraf bir VPN sağlayıcısı, özellikle Mullvad VPN aracılığıyla kuruluşunuza erişim elde edilmeye çalışıldığını düşünüyorsanız, bunu doğrulamanız gerekir.
- Aşağıdaki sağlayıcılardan gelen tüm telefon aramalarını ve kısa mesajları gelir gelmez kontrol etmeniz önemlidir:-
- Google sesi
- Skype
- Vonage/Nexmo
- bant genişliği nokta com
EditThisCookie gibi belirli tarayıcı uzantılarını beklenmedik şekilde yükleme girişimlerine karşı tetikte olmalısınız.
Böyle bir durumda, duygularınızı ifade etmek için doğru kelimeleri bulmak asla kolay değildir. Bunun gibi çalışanların ve siber güvenlik profesyonellerinin utandığı ve yönetimin de canını sıkan durumlar var.
Sosyal mühendislik aktörleri, güçlü bir çevrimiçi varlığı olan ve kariyerlerinin bir noktasında dijital varlıkları yöneten şirketlerin çalışanlarını hedef alacaktır.
Çok katmanlı bir savunma benimsemenin, bir saldırıyı o kadar zorlu hale getirebileceğini ve en tehlikeli tehdit aktörlerinin teslim olacağını akılda tutmak önemlidir.
Hem tüketici hesaplarını hem de kurumsal hesapları korumak için çok faktörlü kimlik doğrulamanın (MFA) uygulanması ve fiziksel güvenlik belirteçlerinin kullanılması önemlidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin
Source link