Suosittu kryptovaluuttapörssi Coinbase on viimeisin tunnettu online-brändi, joka on hyväksytty joutua rikokseen.
Yritys päätti muuttaa rikkomusraporttinsa mielenkiintoiseksi yhdistelmäksi osittaista mea culpaa ja käteviä neuvoja muille.
Kuten tuoreessa tapauksessa Reddit, yritys ei voinut vastustaa S-sanan heittämistä (hienostunut), joka näyttää jälleen kerran noudattavan Naked Secuity -lukijan Richard Penningtonin a viime kommentti, jossa hän sen huomautti "Kehittynyt" tarkoittaa yleensä "parempi kuin puolustuksemme".
Olemme taipuvaisia olemaan samaa mieltä siitä, että monissa, ellei useimmissa, rikkomusraporteissa, joissa uhkia ja hyökkääjiä kuvataan hienostunut or kehittynyt, näitä sanoja käytetään todellakin suhteellisesti (eli liian hyviä meille) eikä ehdottoman (esim. liian hyviä kaikille).
Coinbase totesi itsevarmasti artikkelinsa alussa olevassa yhteenvedossa:
Onneksi Coinbasen kybervalvonta esti hyökkääjää pääsemästä suoraan järjestelmään ja esti varojen menetyksen tai asiakastietojen vaarantumisen.
Mutta tätä ilmeistä varmuutta horjutti se, että heti seuraavassa virkkeessä myönnettiin, että:
Vain rajoitettu määrä tietoja yrityshakemistostamme paljastettiin.
Valitettavasti yksi kyberrikollisten käyttämistä suosituimmista TTP:istä (työkaluista, tekniikoista ja menettelyistä) tunnetaan ammattikielessä nimellä sivuttaisliike, joka viittaa temppuun kohdistaa tieto ja käyttöoikeudet, jotka on hankittu yhdessä murron osassa, yhä laajemmalle järjestelmälle.
Toisin sanoen, jos kyberrikollinen voi väärinkäyttää käyttäjälle Y kuuluvaa tietokonetta X hakeakseen luottamuksellisia yritystietoja tietokannasta Z (tässä tapauksessa onneksi työntekijöiden nimiin, sähköpostiosoitteisiin ja puhelinnumeroihin)…
…sitten sanominen, että hyökkääjä ei "saanut suoraa järjestelmään pääsyä" kuulostaa melko akateemiselta erottelulta, vaikka järjestelmänvalvojat keskuudessamme luultavasti ymmärtävät nämä sanat tarkoittaen, että rikolliset eivät päätyneet päätekehotteeseen, jossa he voisivat suorittaa minkä tahansa halutun järjestelmäkomennon.
Vinkkejä uhkien puolustajille
Siitä huolimatta Coinbase listasi joitain kyberrikollisten työkaluja, tekniikoita ja menettelyjä, joita se koki tässä hyökkäyksessä, ja luettelo tarjoaa hyödyllisiä vinkkejä uhkien puolustajille ja XDR-tiimeille.
XDR on nykyään melkoinen muotisana (se on lyhenne sanoista laajennettu tunnistus ja vastaus), mutta mielestämme yksinkertaisin tapa kuvata se on:
Laajennettu tunnistus ja reagointi tarkoittaa sitä, että etsit säännöllisesti ja aktiivisesti vihjeitä siitä, että joku ei ole kunnossa verkossasi sen sijaan, että odottaisit perinteisiä kyberturvallisuushavaintoja uhkareaktion hallintapaneelissasi, jotta se laukaisi vastauksen.
XDR ei tietenkään tarkoita olemassa olevien kyberturvallisuushälytys- ja estotyökalujesi poistamista käytöstä, mutta se tarkoittaa uhkien metsästysalueen ja luonteen laajentamista, jotta et vain etsi kyberrikollisia, kun olet melko varma, että he ovat ovat jo saapuneet, mutta myös tarkkailevat niitä, kun he vielä valmistautuvat yrittämään hyökkäystä.
Coinbase-hyökkäys, rekonstruoitu yrityksen hieman staccatosta tili, näyttää olleen seuraavat vaiheet:
- TELLTALE 1: SMS-pohjainen tietojenkalasteluyritys.
Henkilökuntaa kehotettiin tekstiviestillä kirjautumaan sisään lukeakseen tärkeän yritysilmoituksen.
Viestissä oli mukavuussyistä kirjautumislinkki, mutta linkki meni väärälle sivustolle, joka tallensi käyttäjätunnuksia ja salasanoja.
Ilmeisesti hyökkääjät eivät tienneet tai ajatelleet saada käsiinsä 2FA:n (kaksivaiheinen todennuskoodi), jonka he tarvitsisivat yhdessä käyttäjänimen ja salasanan kanssa, joten tämä osa hyökkäyksestä jäi turhaksi. .
Emme tiedä, kuinka 2FA suojasi tiliä. Ehkä Coinbase käyttää laitteistotunnuksia, kuten Yubikeys, jotka eivät toimi yksinkertaisesti antamalla kuusinumeroisen koodin, jonka kirjoitat puhelimesta selaimeesi tai kirjautumissovellukseesi? Ehkä roistot eivät pyytäneet koodia ollenkaan? Ehkä työntekijä huomasi tietojenkalastelun luovutettuaan salasanansa, mutta ennen kuin hän paljasti lopullisen kertaluonteisen salaisuuden, joka tarvitaan prosessin suorittamiseen? Coinbase-raportin sanamuodon perusteella epäilemme, että roistot joko unohtivat tai eivät löytäneet uskottavaa tapaa kaapata tarvittavat 2FA-tiedot väärennetyille kirjautumisnäytöilleen. Älä yliarvioi sovellus- tai tekstiviestipohjaisen 2FA:n vahvuutta. Mikä tahansa 2FA-prosessi, joka perustuu vain puhelimessasi näkyvän koodin kirjoittamiseen kannettavan tietokoneen kenttään, tarjoaa vain vähän suojaa hyökkääjiä vastaan, jotka ovat valmiita ja halukkaita kokeilemaan kalastelutietojasi välittömästi. Tekstiviestien tai sovellusten luomia koodeja rajoittaa yleensä vain aika, ja ne ovat voimassa 30 sekunnin ja muutaman minuutin välillä, mikä antaa hyökkääjille yleensä tarpeeksi aikaa kerätä ne ja käyttää niitä ennen niiden vanhenemista.
- TELLTALE 2: Puhelinsoitto henkilöltä, joka sanoi olevansa IT:stä.
Muista, että tämä hyökkäys johti lopulta siihen, että rikolliset saivat haltuunsa luettelon työntekijöiden yhteystiedoista, joiden oletamme päätyvän myytyksi tai luovutettaviksi tietoverkkorikollisuuden alle, jotta muut roistot voivat käyttää väärin tulevissa hyökkäyksissä.
Vaikka olisit yrittänyt pitää työsi yhteystietosi luottamuksellisina, ne voivat olla jo olemassa ja yleisesti tiedossa, johtuen aikaisemmasta tietomurrosta, jota et ehkä ole havainnut, tai historiallisen hyökkäyksen toissijaista lähdettä vastaan, kuten ulkoistaminen. yritys, jolle olet kerran uskonut henkilöstötietosi.
- TELLTALE 3: Pyyntö asentaa etäkäyttöohjelma.
Coinbase-loukkauksessa hyökkäyksen toisessa vaiheessa soittaneet sosiaaliset insinöörit ilmeisesti pyysivät uhria asentamaan AnyDeskin, jota seurasi ISL Online.
Älä koskaan asenna mitään ohjelmistoja, puhumattakaan etäkäyttötyökaluista (joiden avulla ulkopuolinen voi tarkastella näyttöäsi ja ohjata hiirtäsi ja näppäimistöäsi etänä ikään kuin he istuisivat tietokoneesi edessä) sinulle juuri soittaneen henkilön puheille. vaikka luulet heidän olevan omalta IT-osastoltasi.
Jos et soittanut heille, et melkein varmasti koskaan ole varma, keitä he ovat.
- TELLTALE 4: Pyyntö asentaa selainlaajennus.
Coinbase-tapauksessa työkalu, jota roistot halusivat uhrin käyttävän, oli nimeltään EditThisCookie (erittäin yksinkertainen tapa noutaa salaisuuksia, kuten pääsytunnisteita käyttäjän selaimesta), mutta sinun pitäisi kieltäytyä asentamasta mitään selainlaajennuksia joten joku, jota et tunne etkä ole koskaan tavannut.
Selainlaajennukset saavat lähes esteettömän pääsyn kaikkeen, mitä kirjoitat selaimeesi, mukaan lukien salasanat, ennen kuin ne salataan, ja kaikkeen, mitä selaimesi näyttää, kun sen salaus on purettu.
Laajennukset eivät voi vain vakoilla selailuasi, vaan myös näkymättömästi muokata kirjoittamaasi ennen sen lähettämistä ja sisältöä, jonka saat takaisin ennen kuin se ilmestyy näytölle.
Mitä tehdä?
Toistaaksemme ja kehittääksemme tähän mennessä antamiamme neuvoja:
- Älä koskaan kirjaudu sisään napsauttamalla viesteissä olevia linkkejä. Sinun pitäisi tietää itse, minne mennä, tarvitsematta "apua" viestistä, joka olisi voinut tulla mistä tahansa.
- Älä koskaan ota IT-neuvoja ihmisiltä, jotka soittavat sinulle. Sinun tulisi tietää, minne soittaa itse, jotta vähennät riskiä, että sinuun ottaa yhteyttä huijari, joka tietää tarkalleen oikean ajankohdan ja näyttää auttavan sinua.
- Älä koskaan asenna ohjelmistoa IT-työntekijän sanomalla, jota et ole vahvistanut. Älä edes asenna ohjelmistoja, joita itse pidät turvallisina, koska soittaja todennäköisesti ohjaa sinut loukkuun jääneeseen lataukseen, johon on jo lisätty haittaohjelmia.
- Älä koskaan vastaa viestiin tai soita kysymällä, onko se aito. Lähettäjä tai soittaja kertoo vain, mitä haluat kuulla. Ilmoita epäilyttävistä kontakteista omalle turvallisuustiimillesi mahdollisimman pian.
Tässä tapauksessa Coinbase sanoo, että sen oma tietoturvatiimi pystyi käyttämään XDR-tekniikoita, havaitsemaan epätavallisia toimintamalleja (esimerkiksi kirjautumisyrityksiä odottamattoman VPN-palvelun kautta) ja puuttumaan asiaan noin 10 minuutissa.
Tämä tarkoitti, että hyökkäyksen kohteeksi joutunut henkilö ei vain katkaissut kaikkia yhteydenottoja rikollisiin heti, ennen kuin oli tapahtunut liikaa vahinkoa, vaan tiesi myös olla erityisen varovainen siltä varalta, että hyökkääjät palasivat vielä lisää huijauksia, haittoja ja ns. aktiivinen vastustaja huijaukseen.
Varmista, että olet myös inhimillinen osa yrityksesi XDR-anturiverkkoa kaikkien muiden ohella teknologiset välineet turvallisuustiimisi on paikalla.
Kun annat aktiivisille puolustajillesi enemmän hyötyä siitä, että "VPN-lähdeosoite näkyi pääsylokeissa", heillä on paljon paremmat valmiudet havaita aktiivinen hyökkäys ja reagoida siihen.
LUE LISÄÄ AKTIIVISISTA VISTAJISTA
Mikä todella toimii tosielämässä kyberrikollisille, kun he aloittavat hyökkäyksen? Kuinka löytää ja hoitaa hyökkäyksen taustalla oleva syy sen sijaan, että käsittelet vain ilmeisiä oireita?
LUE LISÄÄ XDR:stä JA MDR:stä
Puuttuuko aika tai asiantuntemus kyberturvallisuusuhkien torjuntaan? Oletko huolissasi siitä, että kyberturvallisuus häiritsee sinua kaikista muista asioista, joita sinun on tehtävä?
Katso Sophos Managed Detection and Response:
24/7 uhkien metsästys, havaitseminen ja reagointi ▶
LUE LISÄÄ SOSIAALISTA TEKNIIKKAA
Liity meihin a kiehtova haastattelu Rachel Tobacin kanssa, DEFCON Social Engineering Capture the Flag -mestari, kuinka tunnistaa ja torjua huijarit, sosiaaliset insinöörit ja muut ilkeät verkkorikolliset.
Alla ei näy podcast-soitinta? Kuunnella suoraan Soundcloudissa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- pystyy
- Meistä
- absoluuttinen
- ehdottomasti
- hyväksikäyttö
- akateeminen
- pääsy
- Tili
- hankittu
- hankkiminen
- aktiivinen
- aktiivisesti
- toiminta
- lisä-
- osoite
- osoitteet
- neuvot
- Jälkeen
- vastaan
- hyökkääjiä vastaan
- Kaikki
- yksin
- jo
- keskuudessa
- määrä
- ja
- kaikkialla
- sovelluksen
- näennäinen
- näyttää
- artikkeli
- hyökkäys
- Hyökkäykset
- yritettiin
- Authentication
- kirjoittaja
- auto
- takaisin
- background-image
- koska
- ennen
- ovat
- alle
- Paremmin
- välillä
- Bitti
- esto
- reunus
- pohja
- merkki
- rikkominen
- Broke
- selain
- Selaaminen
- soittaa
- nimeltään
- soittaja
- kaapata
- joka
- tapaus
- Aiheuttaa
- keskus
- tietty
- varmasti
- varmuus
- koodi
- coinbase
- Coinbase n
- väri
- Tulla
- yritys
- Yrityksen
- täydellinen
- kompromissi
- tietokone
- itsevarmasti
- MIINUKSET
- Harkita
- ottaa yhteyttä
- Yhteydet
- pitoisuus
- ohjaus
- valvonta
- mukavuus
- Yrityksen
- voisi
- kattaa
- Valtakirja
- rikolliset
- kryptovaluutta
- Cryptocurrency Exchange
- asiakas
- cyber
- tietoverkkorikollisuuden
- KYBERRIKOLLINEN
- verkkorikollisille
- tietoverkkojen
- kojelauta
- tiedot
- tietokanta
- päivää
- tekemisissä
- päätti
- Puolustajat
- osasto
- on kuvattu
- yksityiskohdat
- havaittu
- Detection
- kehittää
- DID
- ohjata
- näyttö
- näytöt
- ei
- Dont
- download
- sähköposti
- Aikaisemmin
- myöskään
- Työntekijä
- salattu
- Tekniikka
- Engineers
- tarpeeksi
- uskottu
- varustettu
- Jopa
- jokainen
- kaikki
- täsmälleen
- esimerkki
- Vaihdetaan
- johtaja
- olemassa
- kokenut
- asiantuntemus
- avoin
- ulottuu
- Epäonnistui
- melko
- väärennös
- harvat
- ala
- lopullinen
- Löytää
- seurata
- seurannut
- jälkeen
- Onneksi
- alkaen
- etuosa
- varat
- tulevaisuutta
- saamassa
- yleensä
- saada
- saada
- tietty
- antaa
- Antaminen
- Go
- hyvä
- kätevä
- Palvelimet
- sato
- kuulla
- korkeus
- vihjeitä
- historiallinen
- pitää
- liihottaa
- Miten
- Miten
- HTTPS
- ihmisen
- Metsästys
- heti
- tärkeä
- in
- taipuvainen
- mukana
- Mukaan lukien
- henkilökohtainen
- tiedot
- aloittaa
- asentaa
- sen sijaan
- mielenkiintoinen
- puuttua asiaan
- osallistuva
- IT
- ammattikieli
- hypätä
- Pitää
- Tietää
- tunnettu
- kannettava tietokone
- uusin
- elämä
- rajallinen
- LINK
- linkit
- Lista
- vähän
- Pitkät
- katso
- näköinen
- pois
- haittaohjelmat
- onnistui
- monet
- Marginaali
- max-width
- MEA
- välineet
- vain
- viesti
- viestien
- ehkä
- minuuttia
- muokata
- lisää
- eniten
- nimi
- nimet
- luonto
- Tarve
- tarvitsevat
- verkko
- seuraava
- normaali
- huomattava
- ilmoituksen
- numerot
- Ilmeinen
- tarjotaan
- ONE
- verkossa
- Muut
- Muuta
- Ulkoistaminen
- oma
- osa
- Salasana
- salasanat
- kuviot
- Paavali
- Ihmiset
- ehkä
- vaihe
- phish
- Phishing
- puhelin
- Puhelu
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- soitin
- kytkeä
- liitännäiset
- podcast
- sijainti
- Viestejä
- todennäköisesti
- menettelyt
- prosessi
- Ohjelma
- suojattu
- suojaus
- tarjoaa
- tarjoamalla
- alue
- Lue
- lukija
- valmis
- todellinen
- oikea elämä
- äskettäinen
- vähentää
- viittaa
- säännöllisesti
- suhteellisesti
- jäljellä oleva
- kaukosäädin
- etäkäyttö
- toistaa
- vastata
- raportti
- Raportit
- pyyntö
- Vastata
- vastaus
- paljastava
- Richard
- Riski
- ajaa
- turvallista
- Said
- sanoo
- Huijarit
- Näytön
- näytöt
- haku
- Toinen
- toissijainen
- sekuntia
- salaisuus
- turvallisuus
- näyttää
- tuomita
- palvelu
- Lyhyt
- shouldnt
- yksinkertaisesti
- paikka
- Istuminen
- SMS
- So
- niin kaukana
- sosiaalinen
- Sosiaalinen insinööri
- Tuotteemme
- myyty
- vankka
- jonkin verran
- Joku
- jokseenkin
- lähde
- Henkilöstö
- vaiheissa
- Alkaa
- totesi
- Yhä
- varastettu
- vahvuus
- niin
- YHTEENVETO
- epäilyttävä
- SVG
- oireet
- järjestelmä
- ottaa
- joukkue-
- tiimit
- tekniikat
- terminaali
- Kiitos
- -
- Coinbase
- heidän
- asiat
- uhkaus
- uhat
- Throwing
- aika
- vinkit
- että
- tokens
- liian
- työkalu
- työkalut
- ylin
- perinteinen
- siirtyminen
- läpinäkyvä
- kohdella
- laukaista
- VUORO
- Kääntyminen
- tyypillisesti
- Lopulta
- varten
- taustalla oleva
- ymmärtää
- Odottamaton
- URL
- us
- käyttää
- käyttäjä
- yleensä
- todennettu
- kautta
- Uhri
- Näytä
- VPN
- odotus
- halusi
- katsomassa
- tunnettu
- Mitä
- joka
- vaikka
- KUKA
- leveys
- tulee
- halukas
- sisällä
- ilman
- sanamuoto
- sanoja
- Referenssit
- toimii
- huolestunut
- X
- XDR
- Voit
- Sinun
- itse
- zephyrnet