Los empleados de Coinbase fueron objeto de un ataque de seguridad cibernética el 5 de febrero que involucró estafas de SMS y suplantaciones de personal de TI. conforme a un informe reciente del equipo de ingeniería de la compañía. No se vieron afectados los fondos o la información de los clientes, dijo el intercambio de cifrado.
Según el informe, un domingo por la noche, varios empleados de Coinbase recibieron mensajes SMS que les pedían que iniciaran sesión urgentemente a través del enlace proporcionado para acceder a un mensaje importante. Actuando de buena fe, un empleado siguió las instrucciones del explotador:
“Mientras que la mayoría ignora este mensaje espontáneo, un empleado, creyendo que es un mensaje importante y legítimo, hace clic en el enlace e ingresa su nombre de usuario y contraseña. Después de 'iniciar sesión', se le solicita al empleado que ignore el mensaje y se le agradece por cumplir”.
Luego, el perpetrador hizo repetidos intentos de obtener acceso remoto a los sistemas internos de Coinbase con el nombre de usuario y la contraseña del empleado, pero no pudo pasar por la medida de seguridad de autenticación de múltiples factores (MFA).
Después de no poder autenticarse y ser bloqueado automáticamente, el explotador contactó al empleado por teléfono. Según el informe, el atacante afirmó ser el departamento de TI de Coinbase y le pidió ayuda al empleado:
“Creyendo que estaban hablando con un miembro legítimo del personal de TI de Coinbase, el empleado inició sesión en su estación de trabajo y comenzó a seguir las instrucciones del atacante. Eso inició un tira y afloja entre el atacante y un empleado cada vez más sospechoso. A medida que avanzaba la conversación, las solicitudes se volvieron cada vez más sospechosas”.
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Coinbase fue alertado sobre una actividad inusual por parte de su sistema de Gestión de Incidentes y Eventos de Seguridad (SIEM). Un respondedor de incidentes se acercó a la víctima a través del sistema de mensajería interna de la empresa en respuesta al comportamiento atípico.
“Al darse cuenta de que algo estaba muy mal, el empleado finalizó todas las comunicaciones con el atacante”, dice el informe. Según Coinbase, su entorno de control en capas protegió los fondos y la información de los clientes, a pesar de que parte de la información de su personal se había visto comprometida.
ha La compañía cree que el ataque está asociado con una campaña de ataque sofisticada que se ha dirigido a muchas empresas desde el año pasado, especialmente en los Estados Unidos. Empresa de ciberseguridad Group-IB reportaron en agosto, ataques de phishing similares contra empleados de Twilio y Cloudflare como parte de una campaña masiva que terminó con 9,931 cuentas de más de 130 organizaciones comprometidas.
El equipo de Coinbase también señaló que sus clientes y empleados son objetivos frecuentes de los estafadores, y la solución radica en ofrecer la capacitación adecuada:
“La investigación muestra una y otra vez que todas las personas pueden ser engañadas eventualmente, sin importar cuán alertas, hábiles y preparadas estén. Siempre debemos trabajar a partir de la suposición de que sucederán cosas malas. Necesitamos innovar constantemente para mitigar la efectividad de estos ataques y, al mismo tiempo, esforzarnos por mejorar la experiencia general de nuestros clientes y empleados”.
Fuente: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees