A popular exchange de criptomoedas Coinbase é o mais recente nome de marca online bem conhecido que é admitiu para ser violado.
A empresa decidiu transformar seu relatório de violação em uma mistura interessante de mea culpa parcial e conselhos úteis para outras pessoas.
Como no caso recente de Reddit, a empresa não resistiu em lançar a palavra com S (sofisticado), que mais uma vez parece seguir a definição oferecida pelo leitor de Naked Secuity, Richard Pennington, em um comentário recente, onde observou que 'Sofisticado' geralmente se traduz como 'melhor do que nossas defesas'.
Estamos inclinados a concordar que em muitos, se não na maioria, os relatórios de violação em que ameaças e invasores são descritos como sofisticado or avançado, essas palavras são de fato usadas relativamente (isto é, boas demais para nós) em vez de absolutamente (por exemplo, boas demais para todos).
A Coinbase afirmou com confiança, no resumo executivo no início de seu artigo:
Felizmente, os controles cibernéticos da Coinbase impediram que o invasor obtivesse acesso direto ao sistema e evitasse qualquer perda de fundos ou comprometimento das informações do cliente.
Mas essa aparente certeza foi minada pela admissão, logo na frase seguinte, de que:
Apenas uma quantidade limitada de dados de nosso diretório corporativo foi exposta.
Infelizmente, um dos TTPs (ferramentas, técnicas e procedimentos) preferidos pelos cibercriminosos é conhecido no jargão como movimento lateral, que se refere ao truque de apostar informações e acessos adquiridos em uma parte de uma violação em um acesso cada vez mais amplo ao sistema.
Em outras palavras, se um cibercriminoso pode abusar do computador X pertencente ao usuário Y para recuperar dados corporativos confidenciais do banco de dados Z (neste caso, felizmente, limitado a nomes de funcionários, endereços de e-mail e números de telefone)…
…então dizer que o invasor não “obteve acesso direto ao sistema” soa como uma distinção bastante acadêmica, mesmo que os administradores de sistema entre nós provavelmente entendam essas palavras para sugerir que os criminosos não acabaram com um prompt de terminal no qual eles poderiam executar qualquer comando do sistema que desejassem.
Dicas para defensores de ameaças
No entanto, a Coinbase listou algumas das ferramentas, técnicas e procedimentos cibercriminosos que experimentou neste ataque, e a lista fornece algumas dicas úteis para defensores de ameaças e equipes XDR.
XDR é uma palavra da moda hoje em dia (é a abreviação de detecção e resposta ampliadas), mas achamos que a maneira mais simples de descrevê-lo é:
Detecção e resposta estendida significa procurar regularmente e ativamente por dicas de que alguém está tramando algo ruim em sua rede, em vez de esperar pelas detecções tradicionais de segurança cibernética em seu painel de resposta a ameaças para acionar uma resposta.
Obviamente, XDR não significa desativar suas ferramentas existentes de alerta e bloqueio de segurança cibernética, mas significa estender o alcance e a natureza de sua busca por ameaças, para que você não esteja apenas procurando por cibercriminosos quando tiver certeza de que eles já chegaram, mas também cuidando deles enquanto eles ainda estão se preparando para tentar um ataque.
O ataque da Coinbase, reconstruído a partir do staccato da empresa conta, parece ter envolvido as seguintes etapas:
- TELLTALE 1: Uma tentativa de phishing baseada em SMS.
Os funcionários foram solicitados via SMS a fazer login para ler uma importante notificação corporativa.
Por conveniência, a mensagem incluía um link de login, mas esse link levava a um site falso que capturava nomes de usuário e senhas.
Aparentemente, os invasores não sabiam, ou não pensaram, para obter o 2FA (código de autenticação de dois fatores), eles precisariam ir junto com o nome de usuário e a senha, então essa parte do ataque não deu em nada. .
Não sabemos como o 2FA protegeu a conta. Talvez a Coinbase use tokens de hardware, como Yubikeys, que não funcionam simplesmente fornecendo um código de seis dígitos que você transcreve do telefone para o navegador ou aplicativo de login? Talvez os bandidos não tenham pedido o código? Talvez o funcionário tenha detectado o phishing depois de fornecer sua senha, mas antes de revelar o último segredo necessário para concluir o processo? Pela redação do relatório da Coinbase, suspeitamos que os criminosos se esqueceram ou não conseguiram encontrar uma maneira confiável de capturar os dados 2FA necessários em suas telas de login falsas. Não superestime a força do 2FA baseado em aplicativo ou SMS. Qualquer processo 2FA que dependa apenas da digitação de um código exibido em seu telefone em um campo em seu laptop oferece muito pouca proteção contra invasores que estão prontos e dispostos a testar suas credenciais de phishing imediatamente. Esses códigos gerados por SMS ou aplicativos normalmente são limitados apenas pelo tempo, permanecendo válidos entre 30 segundos e alguns minutos, o que geralmente dá aos invasores tempo suficiente para coletá-los e usá-los antes que expirem.
- TELLTALE 2: Um telefonema de alguém que disse ser da TI.
Lembre-se de que esse ataque acabou resultando na aquisição, pelos criminosos, de uma lista de detalhes de contato de funcionários, que presumimos que acabará sendo vendida ou distribuída no submundo do crime cibernético para que outros criminosos abusem em ataques futuros.
Mesmo que você tenha tentado manter seus detalhes de contato de trabalho confidenciais, eles já podem estar lá fora e amplamente conhecidos de qualquer maneira, graças a uma violação anterior que você pode não ter detectado ou a um ataque histórico contra uma fonte secundária, como uma terceirização empresa à qual você confiou os dados de sua equipe.
- TELLTALE 3: Uma solicitação para instalar um programa de acesso remoto.
Na violação da Coinbase, os engenheiros sociais que ligaram na segunda fase do ataque aparentemente pediram à vítima para instalar o AnyDesk, seguido pelo ISL Online.
Nunca instale nenhum software, muito menos ferramentas de acesso remoto (que permitem que um estranho visualize sua tela e controle seu mouse e teclado remotamente como se estivessem sentados em frente ao seu computador) por ordem de alguém que acabou de ligar para você, mesmo que você pense que eles são do seu próprio departamento de TI.
Se você não ligou para eles, quase certamente nunca terá certeza de quem eles são.
- TELLTALE 4: Uma solicitação para instalar um plug-in do navegador.
No caso da Coinbase, a ferramenta que os bandidos queriam que a vítima usasse chamava-se EditThisCookie (uma forma ultra-simples de recuperar segredos, como tokens de acesso do navegador de um usuário), mas você deve se recusar a instalar qualquer plug-in do navegador no dito- tão de alguém que você não conhece e nunca conheceu.
Os plug-ins do navegador obtêm acesso quase irrestrito a tudo o que você digita no navegador, incluindo senhas, antes de serem criptografados e a tudo o que o navegador exibe, depois de descriptografado.
Os plug-ins podem não apenas espionar sua navegação, mas também modificar invisivelmente o que você digita antes de ser transmitido e o conteúdo que você recupera antes de aparecer na tela.
O que fazer?
Para repetir e desenvolver o conselho que demos até agora:
- Nunca faça login clicando em links nas mensagens. Você mesmo deve saber para onde ir, sem precisar da “ajuda” de uma mensagem que poderia vir de qualquer lugar.
- Nunca aceite conselhos de TI de pessoas que ligam para você. Você mesmo deve saber para onde ligar, para reduzir o risco de ser contatado por um golpista que sabe exatamente a hora certa de entrar em cena e parecer estar “ajudando” você.
- Nunca instale software por indicação de um funcionário de TI que você não tenha verificado. Nem mesmo instale um software que você mesmo considere seguro, porque o chamador provavelmente irá direcioná-lo para um download armadilhado no qual o malware já foi adicionado.
- Nunca responda a uma mensagem ou ligue perguntando se é genuíno. O remetente ou chamador simplesmente dirá o que você deseja ouvir. Relate contatos suspeitos à sua própria equipe de segurança assim que puder.
Nesse caso, a Coinbase diz que sua própria equipe de segurança foi capaz de usar técnicas XDR, detectando padrões incomuns de atividade (por exemplo, tentativas de logon por meio de um serviço VPN inesperado) e intervir em cerca de 10 minutos.
Isso significava que o indivíduo sob ataque não apenas interrompia todo o contato com os criminosos imediatamente, antes que muito dano fosse causado, mas também sabia ser extremamente cuidadoso caso os atacantes voltassem com mais artimanhas, golpes e os chamados adversário ativo truques.
Certifique-se de que você também é uma parte humana da “rede de sensores” XDR da sua empresa, juntamente com qualquer ferramentas tecnológicas sua equipe de segurança possui.
Dar aos seus defensores ativos mais informações do que apenas “o endereço de origem da VPN apareceu nos logs de acesso” significa que eles estarão muito mais bem equipados para detectar e responder a um ataque ativo.
SAIBA MAIS SOBRE ADVERSÁRIOS ATIVOS
Na vida real, o que realmente funciona para os cibercriminosos quando eles iniciam um ataque? Como você encontra e trata a causa subjacente de um ataque, em vez de apenas lidar com os sintomas óbvios?
SAIBA MAIS SOBRE XDR E MDR
Pouco tempo ou experiência para cuidar da resposta a ameaças de segurança cibernética? Preocupado que a segurança cibernética acabe distraindo você de todas as outras coisas que você precisa fazer?
Dê uma olhada no Sophos Managed Detection and Response:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
SAIBA MAIS SOBRE ENGENHARIA SOCIAL
Junte-se a nós para um entrevista fascinante com Rachel Tobac, campeã do DEFCON Social Engineering Capture the Flag, sobre como detectar e rejeitar golpistas, engenheiros sociais e outros cibercriminosos desprezíveis.
Nenhum reprodutor de podcast exibido abaixo? Ouvir diretamente no Soundcloud.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Capaz
- Sobre
- absoluto
- absolutamente
- abuso
- acadêmico
- Acesso
- Conta
- adquirido
- aquisição de
- ativo
- ativamente
- atividade
- adicionado
- endereço
- endereços
- conselho
- Depois de
- contra
- contra atacantes
- Todos os Produtos
- sozinho
- já
- entre
- quantidade
- e
- qualquer lugar
- app
- aparente
- aparecer
- artigo
- ataque
- Ataques
- tentada
- Autenticação
- autor
- auto
- em caminho duplo
- background-image
- Porque
- antes
- ser
- abaixo
- Melhor
- entre
- Pouco
- bloqueio
- fronteira
- Inferior
- interesse?
- violação
- Quebrou
- navegador
- Navegando
- chamada
- chamado
- visitante
- capturar
- Cuidado
- casas
- Causar
- Centralização de
- certo
- certamente
- certeza
- código
- coinbase
- Coinbase's
- cor
- como
- Empresa
- Empresa
- completar
- compromisso
- computador
- com confiança
- Desvantagens
- Considerar
- Contacto
- contatos
- conteúdo
- ao controle
- controles
- facilidade
- Responsabilidade
- poderia
- cobrir
- Credenciais
- Os criminosos
- criptomoedas
- Troca de Criptomoeda
- cliente
- cibernético
- cibercrime
- CIBERCRIMINAL
- cibercriminosos
- Cíber segurança
- painel de instrumentos
- dados,
- banco de dados
- dias
- lidar
- decidido
- Defensores
- Departamento
- descrito
- detalhes
- detectou
- Detecção
- desenvolver
- DID
- diretamente
- Ecrã
- monitores
- Não faz
- não
- download
- o email
- Mais cedo
- ou
- Empregado
- criptografada
- Engenharia
- Engenheiros
- suficiente
- confiada
- equipado
- Mesmo
- todos
- tudo
- exatamente
- exemplo
- exchange
- executivo
- existente
- experiente
- experiência
- exposto
- estendendo
- fracassado
- bastante
- falsificação
- poucos
- campo
- final
- Encontre
- seguir
- seguido
- seguinte
- Felizmente
- da
- frente
- fundos
- futuro
- ganhando
- geralmente
- ter
- obtendo
- dado
- dá
- Dando
- Go
- Bom estado, com sinais de uso
- acessível
- Hardware
- colheita
- ouvir
- altura
- dicas
- histórico
- segurar
- pairar
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- humano
- Caça
- imediatamente
- importante
- in
- Inclinada
- incluído
- Incluindo
- Individual
- INFORMAÇÕES
- iniciar
- instalar
- em vez disso
- interessante
- intervir
- envolvido
- IT
- jargão
- saltar
- Guarda
- Saber
- conhecido
- laptop
- mais recente
- vida
- Limitado
- LINK
- Links
- Lista
- pequeno
- longo
- olhar
- procurando
- fora
- malwares
- gerenciados
- muitos
- Margem
- max-width
- MEA
- significa
- apenas
- mensagem
- mensagens
- poder
- Minutos
- modificar
- mais
- a maioria
- nome
- nomes
- Natureza
- você merece...
- necessitando
- rede
- Próximo
- normal
- notado
- notificação
- números
- óbvio
- oferecido
- ONE
- online
- Outros
- Outros
- Outsourcing
- próprio
- parte
- Senha
- senhas
- padrões
- Paul
- Pessoas
- possivelmente
- fase
- phishing
- Phishing
- telefone
- Chamada telefónica
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- jogador
- plug-in
- plugins
- Podcast
- posição
- POSTAGENS
- provavelmente
- procedimentos
- processo
- Agenda
- protegido
- proteção
- fornece
- fornecendo
- alcance
- Leia
- Leitor
- pronto
- reais
- vida real
- recentemente
- reduzir
- refere-se
- regularmente
- relativamente
- remanescente
- remoto
- acesso remoto
- repetir
- resposta
- Denunciar
- Relatórios
- solicitar
- Responder
- resposta
- revelando
- Richard
- Risco
- Execute
- seguro
- Dito
- diz
- Scammers
- Peneira
- telas
- pesquisar
- Segundo
- secundário
- segundo
- Segredo
- segurança
- parece
- sentença
- serviço
- Baixo
- rede de apoio social
- simplesmente
- local
- Sentado
- SMS
- So
- até aqui
- Redes Sociais
- Engenharia social
- Software
- vendido
- sólido
- alguns
- Alguém
- um pouco
- fonte
- Staff
- Estágio
- começo
- estabelecido
- Ainda
- roubado
- força
- tal
- RESUMO
- suspeito
- SVG
- Sintomas
- .
- Tire
- Profissionais
- equipes
- técnicas
- terminal
- obrigado
- A
- A base de moedas
- deles
- coisas
- ameaça
- ameaças
- Jogando
- tempo
- dicas
- para
- Tokens
- também
- ferramenta
- ferramentas
- topo
- tradicional
- transição
- transparente
- tratar
- desencadear
- VIRAR
- Passando
- tipicamente
- Em última análise
- para
- subjacente
- compreender
- Inesperado
- URL
- us
- usar
- Utilizador
- geralmente
- verificado
- via
- Vítima
- Ver
- VPN
- Esperando
- querido
- assistindo
- bem conhecido
- O Quê
- qual
- enquanto
- QUEM
- largura
- precisarão
- disposto
- dentro
- sem
- redação
- palavras
- Atividades:
- trabalho
- preocupado
- X
- XDR
- Vocês
- investimentos
- você mesmo
- zefirnet