พนักงานของ Coinbase ตกเป็นเป้าหมายในการโจมตีด้านความปลอดภัยทางไซเบอร์เมื่อวันที่ 5 กุมภาพันธ์ ที่เกี่ยวข้องกับการหลอกลวงทาง SMS และการแอบอ้างเป็นพนักงานไอที ตาม ถึงรายงานล่าสุดจากทีมวิศวกรของบริษัท เงินหรือข้อมูลของลูกค้าไม่ได้รับผลกระทบ crypto exchange กล่าว
ตามรายงาน ในช่วงปลายวันอาทิตย์ พนักงานของ Coinbase หลายคนได้รับข้อความ SMS ซึ่งต้องการให้พวกเขาเข้าสู่ระบบอย่างเร่งด่วนผ่านลิงก์ที่ให้ไว้เพื่อเข้าถึงข้อความสำคัญ พนักงานคนหนึ่งทำตามคำแนะนำของผู้แสวงประโยชน์โดยสุจริต:
“ในขณะที่คนส่วนใหญ่ไม่สนใจข้อความที่ไม่ได้รับการแจ้งเตือนนี้ พนักงานคนหนึ่งเชื่อว่าเป็นข้อความที่สำคัญและถูกต้องตามกฎหมาย จึงคลิกลิงก์และป้อนชื่อผู้ใช้และรหัสผ่าน หลังจาก 'เข้าสู่ระบบ' พนักงานจะได้รับแจ้งให้ไม่สนใจข้อความและขอบคุณที่ปฏิบัติตาม”
จากนั้นผู้กระทำความผิดได้พยายามซ้ำแล้วซ้ำอีกเพื่อเข้าถึงระบบภายในของ Coinbase จากระยะไกลด้วยชื่อผู้ใช้และรหัสผ่านของพนักงาน แต่ไม่สามารถผ่านมาตรการรักษาความปลอดภัย Multi-Factor Authentication (MFA) ได้
หลังจากที่ตรวจสอบสิทธิ์ไม่ได้และถูกบล็อกโดยอัตโนมัติ ผู้โจมตีก็ติดต่อพนักงานทางโทรศัพท์ ตามรายงาน ผู้โจมตีอ้างว่าเป็นแผนกไอทีของ Coinbase และขอความช่วยเหลือจากพนักงาน:
“เชื่อว่าพวกเขากำลังพูดคุยกับเจ้าหน้าที่ฝ่ายไอทีของ Coinbase ที่ถูกต้อง พนักงานจึงเข้าสู่ระบบเวิร์กสเตชันและเริ่มทำตามคำแนะนำของผู้โจมตี นั่นเริ่มกลับไปกลับมาระหว่างผู้โจมตีและพนักงานที่น่าสงสัยมากขึ้นเรื่อยๆ เมื่อการสนทนาดำเนินไป คำขอก็น่าสงสัยมากขึ้นเรื่อยๆ”
Computer Security Incident Response Team (CSIRT) ของ Coinbase ได้รับการแจ้งเตือนเกี่ยวกับกิจกรรมที่ผิดปกติโดยระบบ Security Incident and Event Management (SIEM) ผู้เผชิญเหตุติดต่อไปหาเหยื่อผ่านระบบข้อความภายในของบริษัทเพื่อตอบสนองต่อพฤติกรรมที่ผิดปกติ
“เมื่อตระหนักว่ามีบางอย่างผิดปกติ พนักงานจึงยุติการสื่อสารทั้งหมดกับผู้โจมตี” รายงานระบุ จากข้อมูลของ Coinbase สภาพแวดล้อมการควบคุมแบบหลายชั้นได้ปกป้องเงินทุนและข้อมูลของลูกค้า แม้ว่าข้อมูลบุคลากรบางส่วนจะถูกบุกรุก
บริษัทเชื่อว่าการโจมตีดังกล่าวเกี่ยวข้องกับแคมเปญการโจมตีที่ซับซ้อนซึ่งมีเป้าหมายที่บริษัทหลายแห่งตั้งแต่ปีที่แล้ว โดยเฉพาะในสหรัฐอเมริกา บริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB รายงาน ในเดือนสิงหาคม การโจมตีแบบฟิชชิงที่คล้ายกันกับพนักงานของ Twilio และ Cloudflare ซึ่งเป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่ลงเอยด้วยบัญชี 9,931 บัญชีจากกว่า 130 องค์กรถูกบุกรุก
ทีมงานของ Coinbase ยังตั้งข้อสังเกตว่าลูกค้าและพนักงานมักตกเป็นเป้าหมายของผู้หลอกลวง และวิธีแก้ปัญหาอยู่ที่การเสนอการฝึกอบรมที่เหมาะสม:
“การวิจัยแสดงให้เห็นครั้งแล้วครั้งเล่าว่าในที่สุดทุกคนสามารถถูกหลอกได้ ไม่ว่าพวกเขาจะตื่นตัว มีทักษะ และเตรียมพร้อมเพียงใด เราต้องทำงานจากสมมติฐานเสมอว่าสิ่งเลวร้ายจะเกิดขึ้น เราจำเป็นต้องสร้างสรรค์สิ่งใหม่ ๆ อย่างต่อเนื่องเพื่อลดประสิทธิภาพของการโจมตีเหล่านี้ ในขณะเดียวกันก็พยายามปรับปรุงประสบการณ์โดยรวมของลูกค้าและพนักงานของเรา”
ที่มา: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees