Kripto para borsası Coinbase, geçen yıl Twillio, Cloudflare ve diğer birçok şirketi hedef alan aynı saldırganlar tarafından düzenlenmiş olabilecek bir siber saldırıyı savuşturdu.
Saldırganlar, smishing ve vishing’den yararlanarak Coinbase çalışanlarını oturum açma kimlik bilgilerini paylaşmaları ve uzak masaüstü uygulamaları yüklemeleri için kandırmaya çalıştılar ve yalnızca kısmen başarılı oldular: şirketin olay müdahale ekibi “olağandışı etkinlik” uyarılarına hızla tepki gösterdi ve sonunda saldırganlar müşteri bilgilerine erişemez veya para çalamaz.
Coinbase siber saldırısı nasıl ortaya çıktı?
Saldırı, 5 Şubat 2023 Pazar günü, bazı Coinbase çalışanlarının, önemli bir mesaj alabilmeleri için sağlanan bir bağlantı aracılığıyla şirket sistemlerine acilen giriş yapmaları gerektiğini belirten bir metin mesajı almalarıyla başladı.
Hedeflenen çalışanlardan yalnızca biri hileye kandı ve kimlik bilgilerini sağlanan kimlik avı sayfasına girdi. Saldırganlar bu bilgilerle donanmış olarak şirket sistemlerine erişmeye çalıştılar, ancak ellerinde ikinci bir kimlik doğrulama faktörü olmadığı için başarısız oldular.
Bu yüzden başka bir taktik denediler: Coinbase’in BT personelinin kimliğine bürünerek çalışanı telefona bağlamak, onları iş istasyonlarında oturum açmaya ikna etmek ve saldırganların erişim kimlik bilgilerine ihtiyaç duymadan sisteme erişmesine izin verecek bir yazılım yüklemek.
Coinbase’in CISO’su Jeff Lunglhofer, “Neyse ki, Bilgisayar Güvenliği Olaylarına Müdahale Ekibimiz (CSIRT) saldırının ilk 10 dakikasında bu sorunun üstesinden geldi.”
“CSIRT’imiz, Güvenlik Olayı ve Olay Yönetimi (SIEM) sistemimiz tarafından olağandışı faaliyetler konusunda uyarıldı. Kısa bir süre sonra olay müdahale ekiplerimizden biri, dahili Coinbase mesajlaşma sistemimiz aracılığıyla kurbana ulaşarak hesabıyla ilişkili bazı olağandışı davranışlar ve kullanım kalıpları hakkında bilgi aldı. Bir şeylerin ciddi şekilde yanlış olduğunu anlayan çalışan, saldırganla tüm iletişimini sonlandırdı. CSIRT ekibimiz, mağdur çalışanın tüm erişimini derhal askıya aldı ve kapsamlı bir soruşturma başlattı.”
Sonunda, saldırganlar bazı çalışanların isimlerini, e-posta adreslerini ve telefon numaralarını ele geçirmeyi başardılar ve bunları daha sonra sosyal mühendislik saldırıları için kullanabilirler.
TTP’ler ve risk azaltma tavsiyesi
Lunglhofer, Coinbase çalışanlarının hangi ikinci kimlik doğrulama katmanını kullandığını veya saldırganların çalışandan ek kimlik doğrulama faktörünü paylaşmaya çalışıp çalışmadığını paylaşmadı.
Etkilenen çalışanların sosyal mühendislik saldırılarında kullanılan taktiklere ilişkin farkındalıklarını pekiştirmek için ek eğitimlerden geçirileceğinden şüphem yok, ancak kendisinin de belirttiği gibi, doğru koşullar altında neredeyse herkes kurban olabilir.
“Araştırmalar, ne kadar uyanık, yetenekli ve hazırlıklı olurlarsa olsunlar, tüm insanların eninde sonunda kandırılabileceğini tekrar tekrar gösteriyor” diye ekledi. Bu nedenle bu tür bir eğitim, şirketlerin uygulaması gereken birçok güvenlik katmanından yalnızca biridir.
Coinbase, diğer kuruluşların güvenlik ekiplerinin tetikte olabilmesi için saldırganlar tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaştı. Onlar içerir:
- Şirket adını kelimelerle birleştiren etki alanlarına işaret eden web trafiği çok, giriş yapmakveya Gösterge Paneliancak şirkete ait değil
- AnyDesk veya ISL Online gibi uzak masaüstü uygulamalarının indirilmesi veya kurulum veya çerezlerin düzenlenmesine izin veren tarayıcı uzantıları (örn. EditThisCookie)
- Üçüncü taraf bir VPN sağlayıcısından şirket varlıklarına erişim girişimi
- Google Voice, Skype, Vonage (eski adıyla Nexmo) vb. hizmetlerden gelen telefon görüşmeleri veya kısa mesajlar.
“Bir ağ savunucusu olarak, çalınan kimlik bilgileri, tanımlama bilgileri veya diğer oturum belirteçleri kullanılarak VPN hizmetlerinden (örn. Mullvad) kurumsal uygulamalara giriş denemelerini görmeyi beklemelisiniz. Müşteri ilişkileri yönetimi (CRM) uygulamaları veya çalışan dizini uygulamaları gibi müşteri desteği odaklı uygulamaları numaralandırma girişimleri. Metin tabanlı verileri ücretsiz metin veya dosya paylaşım hizmetlerine (örn. Riseup.net) kopyalama girişimlerini de görebilirsiniz” diye ekledi.
Ayrıca, çevrimiçi varlığı olan tüm şirketlerin çalışanlarına, kendilerine ilk ulaşan biriyle asla hiçbir bilgi paylaşmamalarını tavsiye etti. “Basit bir en iyi uygulama, telefonu kapatmak ve yardıma ulaşmak için güvenilir bir telefon numarası veya şirket sohbet teknolojisi kullanmaktır.”