Tehdit aktörleri, siber saldırganların kurumsal sistemine doğrudan erişim elde etmek için çok faktörlü kimlik doğrulamayı (MFA) atlaması sonrasında “sınırlı miktarda” kişisel çalışan verilerini açığa çıkaran bir ezici saldırıda kripto para borsası Coinbase çalışanlarını hedef aldı.
Coinbase, yakın tarihli bir blog gönderisinde, şirketin önceden tanımlanmış ve birkaç Okta çalışanını kötü amaçlı SMS mesajlarıyla hedef alan Oktapus kampanyasıyla bağlantılı olduğuna inandığı saldırıyı ana hatlarıyla açıkladı ve saldırının nasıl geliştiğine dair derinlemesine, adım adım bir açıklama sağladı. tırmandı ve sonunda büyük bir ihlal olmaksızın engellendi.
Hedef alınan çalışanlardan biri, bir saldırganın SMS’ine yanıt vererek kimlik bilgilerini kurumsal sisteme verdi; kişi daha sonra ilk oturum açma girişimleri MFA güvenliği tarafından engellendikten sonra erişim elde etmeye çalışan bir takip telefonu aldı. Şirket, Coinbase’in Bilgisayar Güvenliği Olay Müdahale Ekibi’nin (CSIRT) saldırıdan sonraki 10 dakika içinde müdahale ederek saldırıyı kapatarak çok daha ciddi bir olayı önlediğini söyledi.
Coinbase’in CISO’su Jeff Lunglhofer, blog yazısında, durumun bir kez daha siber saldırıların başarısında insan hatasının nasıl önemli bir faktör olduğunu ve giderek daha karmaşık hale gelen sosyal mühendislik kampanyalarının işletme için oluşturduğu riski gösterdiğini gösteriyor.
Coinbase, “Bunun gibi durumlardan bahsetmek asla kolay olmasa da” şeffaflık adına saldırıyı açıkladı ve detaylandırdı ve diğer kuruluşların kendilerini benzer olaylardan korumak için smishing’in potansiyel risklerini anlamalarına yardımcı oldu.
Lunglhofer, “Çalışan için utanç verici, siber güvenlik uzmanları için sinir bozucu ve yönetim için sinir bozucu” diye yazdı. “Ancak bir topluluk olarak bunun gibi konularda daha açık olmamız gerekiyor.”
Coinbase Siber Saldırısında Neler Oldu?
Lunglhofer, Coinbase’in dünya çapında 1.200’den fazla çalışanı ve 108 milyondan fazla doğrulanmış kullanıcısı olan bir kripto para borsası olduğunu ve bunun da onu finansal olarak motive olmuş tehdit aktörleri için çekici bir hedef haline getirdiğini söyledi.
Son saldırı, 5 Şubat Pazar günü, birkaç Coinbase çalışanının cep telefonlarına, “önemli bir mesaj almak için” bir bağlantı aracılığıyla Coinbase hesaplarında “acil olarak oturum açmaları” gerektiğini belirten SMS mesajları aldığında meydana geldi. postalamak.
Hedeflenen çalışanların çoğu mesajı görmezden gelirken, biri bağlantıya tıklayarak ve sonunda tehdit aktörlerine kullanıcı adlarını ve şifrelerini vererek bunu görmezden geldi. Saldırganlar daha sonra yasal çalışan kimlik bilgilerini kullanarak Coinbase sisteminde oturum açmaya devam ettiler, ancak doğru MFA kimlik bilgilerini sağlayamadılar ve bu nedenle erişimleri engellendi.
Lunglhofer, birçok saldırının burada duracağını ancak bunun büyük olasılıkla saldırganın “geçen yıldan bu yana çok sayıda şirketi hedef alan son derece ısrarcı ve karmaşık bir saldırı kampanyasıyla ilişkili olduğu” için durmadığını yazdı. Bunu keşfeden Group-IB araştırmacılarının Oktapus adını verdiği Okta saldırı çılgınlığı, 130’dan fazla kuruluşun 9.931 bin hesabının ele geçirilmesiyle sonuçlandı.
İlk SMS mesajından yirmi dakika sonra, güvenliği ihlal edilen çalışanın telefonu çaldı. Hatta, Coinbase kurumsal BT’sinden olduğunu ve çalışanın yardımına ihtiyacı olduğunu iddia eden saldırgan vardı. Çalışan bir kez daha talebin meşru olduğuna inandı ve saldırganın talimatlarını izleyerek Coinbase sisteminde oturum açtı ve saldırgandan giderek daha şüpheli hale gelen isteklere yanıt verdi.
Çalışanın eylemleri, Coinbase çalışanları için adlar, e-posta adresleri ve bazı telefon numaraları dahil olmak üzere “bazı sınırlı iletişim bilgilerini” verdi, ancak herhangi bir müşteri bilgisini veya diğer hassas verileri ifşa etmedi ve saldırganlar Coinbase kripto parasını çalma yeteneği kazanmadı. şirket söyledi.
Sonunda, Coinbase’in CSIRT’i müdahale etti ve hesaplarıyla ilişkili olağandışı davranışlar ve kullanım kalıpları hakkında soru sormak için kurbana ulaştı ve çalışan, saldırganla iletişimi sonlandırdı, diye yazdı. CSIRT daha sonra çalışanın hesap erişimini askıya aldı ve bir soruşturma başlattı.
“Smishing” Saldırıları Neden Başarılıdır?
Lunglhofer, bu durumda, saldırıdan sonraki temizliğin “nispeten hızlı” olduğunu söyledi. Bununla birlikte, olay, gelişmiş, sosyal olarak tasarlanmış kimlik avı saldırılarının, ana akım İnternet’in ortaya çıkışından bu yana meydana gelmelerine ve bunlara ilişkin geniş bir farkındalık olmasına rağmen neden hala bu kadar başarılı olduğuna dair yararlı çıkarımlar sağlıyor.
Lunglhofer, dikkat edilmesi gereken önemli bir noktanın, insanların “birlikte olmaya” ve “ekibinin bir parçası olmaya” yönelik doğal eğilimi nedeniyle, siber farkındalığa sahip en kurnaz kişinin bile zekice, toplum tarafından tasarlanmış bir saldırıyla kandırılabileceğidir. “Doğru koşullar altında neredeyse herkes kurban olabilir” diye yazdı.
Gerçekten de araştırmalar, insan faktörünün veri ihlallerinin meydana gelmesinin en önemli nedenlerinden biri olmaya devam ettiğini gösteriyor. Lunglhofer, bunun, başarılı kimlik avı dolandırıcılıklarının yalnızca bir çalışan “eğitim sorunu” olduğu bahanesini kullanmanın bir kaçış olduğu ve kuruluşların, çalışanların uzlaşması durumunda hızlı hareket edebilecek proaktif bir siber savunma sistemi kurması gerektiği anlamına geldiğini yazdı. .
Coinbase, kuruluşların saldırıları önlemesine veya kurumsal sistemdeki şüpheli oturum açma girişimlerini tanımasına yardımcı olmak için saldırganların taktiklerinin, tekniklerinin ve prosedürlerinin (TTP’ler) bir listesini sağladı. Lunglhofer, özellikle, üçüncü taraf VPN hizmetlerinden kurumsal uygulamalara giriş girişimlerinin, çalıntı kimlik bilgileri, tanımlama bilgileri veya diğer oturum belirteçleri kullanabileceklerinden şüpheli olarak işaretlenmesi gerektiğini gözlemledi.