Coinbase 직원은 5월 XNUMX일 SMS 사기 및 IT 직원 사칭과 관련된 사이버 보안 공격의 표적이 되었습니다. 따라 회사 엔지니어링 팀의 최근 보고서에. 고객의 자금이나 정보는 영향을 받지 않았다고 암호화폐 거래소는 말했습니다.
보고서에 따르면 일요일 늦은 일요일 몇몇 코인베이스 직원들은 중요한 메시지에 액세스하기 위해 제공된 링크를 통해 긴급하게 로그인하라는 SMS 메시지를 받았습니다. 성실하게 행동한 한 직원은 착취자의 지시를 따랐습니다.
“대다수는 메시지가 표시되지 않은 이 메시지를 무시하지만 한 직원은 그것이 중요하고 합법적인 메시지라고 믿고 링크를 클릭하고 사용자 이름과 암호를 입력합니다. '로그인'한 후 직원은 메시지를 무시하라는 메시지를 받고 이를 준수해 주셔서 감사합니다.”
그런 다음 가해자는 직원의 사용자 이름과 암호를 사용하여 Coinbase의 내부 시스템에 대한 원격 액세스 권한을 얻기 위해 반복적으로 시도했지만 Multi-Factor Authentication(MFA) 보안 조치를 통과하지 못했습니다.
인증에 실패하여 자동 차단된 후, 착취자는 직원에게 전화로 연락했습니다. 보고서에 따르면 공격자는 Coinbase의 IT 부서라고 주장하고 직원에게 도움을 요청했습니다.
“합법적인 Coinbase IT 직원과 이야기하고 있다고 생각한 직원은 자신의 워크스테이션에 로그인하고 공격자의 지시를 따르기 시작했습니다. 그것은 공격자와 점점 더 의심스러운 직원 사이에 앞뒤로 시작되었습니다. 대화가 진행됨에 따라 요청이 점점 더 의심스러워졌습니다.”
Coinbase의 CSIRT(Computer Security Incident Response Team)는 SIEM(Security Incident and Event Management) 시스템에서 비정상적인 활동에 대해 경고를 받았습니다. 사건 대응자는 비정상적인 행동에 대응하여 회사의 내부 메시징 시스템을 통해 피해자에게 연락했습니다.
"무언가 심각하게 잘못되었다는 것을 깨닫고 직원은 공격자와의 모든 통신을 종료했습니다."라고 보고서는 말했습니다. Coinbase에 따르면 계층화된 제어 환경은 일부 개인 정보가 손상되었음에도 불구하고 고객 자금과 정보를 보호했습니다.
이 회사는 이 공격이 작년부터 특히 미국에서 많은 회사를 대상으로 한 정교한 공격 캠페인과 관련이 있다고 생각합니다. 사이버 보안 회사 Group-IB 신고 9,931월에는 대규모 캠페인의 일환으로 Twilio 및 Cloudflare 직원에 대한 유사한 피싱 공격이 발생하여 130개 이상의 조직의 XNUMX개 계정이 손상되었습니다.
Coinbase 팀은 또한 고객과 직원이 사기꾼의 빈번한 표적이며 솔루션은 적절한 교육을 제공하는 데 있다고 언급했습니다.
“연구에 따르면 모든 사람이 아무리 기민하고 숙련되고 준비되어 있어도 결국에는 속을 수 있다는 사실이 계속해서 밝혀졌습니다. 우리는 항상 나쁜 일이 일어날 것이라는 가정에서 일해야 합니다. 우리는 고객과 직원의 전반적인 경험을 개선하기 위해 노력하는 동시에 이러한 공격의 효과를 무디게 하기 위해 지속적으로 혁신해야 합니다.”
출처: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees