Kimlik Avı Koruması, DMARC , Finans ve Bankacılık , Dolandırıcılık Yönetimi ve Siber Suçlar
Firma, Çalışan Veri Sızıntısına Yol Açan Saldırının Twilio, Cloudflare Hack’lerine Bağlı Olduğunu Söyledi
Akşaya Asokan (asokan_akshaya) •
21 Şubat 2023
Kripto para borsası Coinbase, Twilio ve Cloudflare saldırılarının arkasında olduğundan şüphelenilen tehdit aktörleri tarafından yakın zamanda yapılan bir saldırı girişiminin, çalışan verilerinin küçük bir sızıntısına yol açtığını açıkladı.
Ayrıca bakınız: Üç Aylık Tehdit Raporu: MFA Yorgunluğu Riski
Cuma günü Coinbase, şirkete yönelik bilgisayar korsanlığı kampanyasının 5 Şubat’ta çalışanlarının önemli bir mesaj almak için resmi e-posta hesaplarına acilen giriş yapmalarını isteyen SMS mesajları almasıyla başladığını açıkladı.
İş gücünün çoğunluğu mesajları görmezden gelse de şirket, kimliği belirsiz bir çalışanın kötü amaçlı bağlantıya tıkladığını ve e-posta kimliğini ve şifresini sahte bir oturum açma sayfasına girdiğini söylüyor. Şirket, bilgisayar korsanlarının kullanıcının kimlik bilgilerini ele geçirdiklerinde Coinbase ağına uzaktan erişim sağlamaya çalıştıklarını ancak iki faktörlü kimlik doğrulama kontrolleri nedeniyle daha fazla erişim elde edemediklerini söylüyor.
Coinbase’e göre bilgisayar korsanları daha sonra doğrudan bir çalışanla iletişime geçti ve yardım arayan bir Coinbase kurumsal BT personeli olduğunu iddia etti. Ancak Coinbase çalışanı şüphelenmeye başladı ve SIEM olay müdahale ekibini olağandışı davranışlar konusunda uyardığında, ekip saldırganlarla tüm iletişimi sonlandıran çalışanı bilgilendirdi.
Şirket, saldırıyı hızlı bir şekilde önleyebildiğini söylese de, olayın kullanıcı adları ve iletişim bilgileri gibi çalışan verilerinin sınırlı bir şekilde sızmasına neden olduğunu kabul ediyor.
Coinbase, olayda sergilenen taktiklere dayanarak, saldırının büyük olasılıkla güvenlik istihbarat firması Group-IB’nin 0ktapus adını verdiği bir kampanyanın arkasındaki bilgisayar korsanları tarafından gerçekleştirildiğini söylüyor. 0ktapus kampanyası, kimlik ve erişim yönetimi şirketi Okta, iletişim hizmeti şirketi Twilio ve DDoS azaltma şirketi Cloudflare’den iki faktörlü kimlik doğrulama ve kimlik bilgilerini çalmaya çalıştı.
Group-IB’ye göre, şirketlere yönelik saldırılar, kurbanları kullanıcı kimlik bilgilerini girmeleri için kandırmak için görünüşte meşru alan adları içeren SMS bağlantılarını kullanan aynı kimlik avı kampanyasının bir parçasıydı (bkz:: Twilio Müşteri Verileri, Çalışanlara Yönelik SMS Kimlik Avı Yoluyla İhlal Edildi).