Popularul schimb de criptomonede Coinbase este cel mai recent nume de marcă online binecunoscut admise pentru a fi încălcat.
Compania a decis să-și transforme raportul de încălcare într-un amestec interesant de mea culpa parțială și sfaturi utile pentru alții.
Ca și în cazul recent al Reddit, compania nu a rezistat să arunce cuvântul S (sofisticat), care pare să urmeze încă o dată definiția oferită de cititorul Naked Secuity Richard Pennington în a comentariu recent, unde a notat că „Sofisticat” se traduce de obicei prin „mai bine decât apărările noastre”.
Suntem înclinați să fim de acord că în multe, dacă nu în majoritatea rapoartelor de încălcare, în care amenințările și atacatorii sunt descriși ca sofisticat or avansat, acele cuvinte sunt într-adevăr folosite relativ (adică prea bune pentru noi) mai degrabă decât absolut (ex. prea bune pentru toată lumea).
Coinbase a declarat cu încredere, în rezumatul executiv de la începutul articolului său:
Din fericire, controalele cibernetice ale Coinbase au împiedicat atacatorul să obțină acces direct la sistem și au prevenit orice pierdere de fonduri sau compromiterea informațiilor despre clienți.
Dar această aparentă certitudine a fost subminată de admiterea, chiar în următoarea propoziție, că:
Doar o cantitate limitată de date din directorul nostru corporativ a fost expusă.
Din păcate, unul dintre TTP-urile preferate (instrumente, tehnici și proceduri) folosite de infractorii cibernetici este cunoscut în jargon ca miscare laterala, care se referă la trucul de a folosi informații și accesul dobândit într-o parte a unei breșe în accesul la sistem din ce în ce mai larg.
Cu alte cuvinte, dacă un criminal cibernetic poate abuza de computerul X aparținând utilizatorului Y pentru a prelua date corporative confidențiale din baza de date Z (în acest caz, din fericire, limitat la numele angajaților, adresele de e-mail și numerele de telefon)...
… apoi a spune că atacatorul nu a „obținut acces direct la sistem” sună ca o distincție destul de academică, chiar dacă administratorii de sistem dintre noi probabil înțeleg acele cuvinte pentru a sugera că infractorii nu au ajuns cu un prompt terminal la care ar putea rulează orice comandă de sistem dorită.
Sfaturi pentru apărătorii amenințărilor
Cu toate acestea, Coinbase a enumerat unele dintre instrumentele, tehnicile și procedurile criminale cibernetice pe care le-a experimentat în acest atac, iar lista oferă câteva sfaturi utile pentru apărătorii amenințărilor și echipele XDR.
XDR este un cuvânt la modă în zilele noastre (este prescurtarea pentru detectie extinsa si raspuns), dar credem că cel mai simplu mod de a-l descrie este:
Detectarea și răspunsul extins înseamnă să căutați în mod regulat și activ indicii că cineva nu este bun în rețeaua dvs., în loc să așteptați detectările tradiționale de securitate cibernetică din tabloul de bord de răspuns la amenințări pentru a declanșa un răspuns.
Evident, XDR nu înseamnă să dezactivați instrumentele existente de alertă și blocare a securității cibernetice, ci înseamnă extinderea domeniului și a naturii vânătorii dvs. de amenințări, astfel încât să nu căutați doar criminali cibernetici după ce sunteți destul de sigur că au deja sosit, dar și cu ochii pe ei în timp ce încă se pregătesc să încerce un atac.
Atacul Coinbase, reconstruit din oarecum staccato al companiei cont, pare să fi implicat următoarele etape:
- TELLTALE 1: O încercare de phishing pe bază de SMS.
Personalul a fost îndemnat prin SMS să se autentifice pentru a citi o notificare importantă a companiei.
Pentru comoditate, mesajul a inclus un link de conectare, dar acel link a mers către un site fals care a capturat nume de utilizator și parole.
Aparent, atacatorii nu știau sau nu s-au gândit că să pună mâna pe 2FA (codul de autentificare cu doi factori) de care ar trebui să meargă împreună cu numele de utilizator și parola, așa că această parte a atacului a rămas fără nimic. .
Nu știm cum 2FA a protejat contul. Poate că Coinbase folosește jetoane hardware, cum ar fi Yubikeys, care nu funcționează pur și simplu prin furnizarea unui cod din șase cifre pe care îl transcrieți de pe telefon în browser sau în aplicația de conectare? Poate că escrocii nu au reușit să ceară codul deloc? Poate că angajatul a descoperit phishing-ul după ce și-a dat parola, dar înainte de a dezvălui secretul final unic necesar pentru a finaliza procesul? Din formularea raportului Coinbase, bănuim că escrocii fie au uitat, fie nu au putut găsi o modalitate credibilă de a captura datele necesare 2FA în ecranele lor de conectare false. Nu supraestimați puterea 2FA bazată pe aplicații sau pe SMS. Orice proces 2FA care se bazează doar pe tastarea unui cod afișat pe telefon într-un câmp de pe laptop oferă o protecție foarte mică împotriva atacatorilor care sunt gata și dispuși să încerce imediat acreditările dvs. de phishing. Acele SMS-uri sau coduri generate de aplicații sunt de obicei limitate doar de timp, rămânând valabile între 30 de secunde și câteva minute, ceea ce oferă atacatorilor suficient de mult timp pentru a le recolta și a le folosi înainte de a expira.
- TELLTALALE 2: Un apel telefonic de la cineva care a spus că este de la IT.
Amintiți-vă că acest atac a avut ca rezultat în cele din urmă infractorii să obțină o listă de detalii de contact ale angajaților, despre care presupunem că vor ajunge să fie vândute sau date în subteranul criminalității cibernetice pentru ca alți escroci să le abuzeze în atacuri viitoare.
Chiar dacă ați încercat să păstrați confidențialitatea detaliilor de contact de la serviciu, acestea pot fi oricum deja cunoscute și larg cunoscute, datorită unei încălcări anterioare pe care este posibil să nu ați fi detectat-o sau unui atac istoric împotriva unei surse secundare, cum ar fi o externalizare. companie căreia i-ați încredințat cândva datele de personal.
- TELLTALE 3: O cerere de instalare a unui program de acces la distanță.
În încălcarea Coinbase, inginerii sociali care au sunat în a doua fază a atacului i-au cerut victimei să instaleze AnyDesk, urmat de ISL Online.
Nu instalați niciodată niciun software, cu atât mai puțin instrumente de acces de la distanță (care permit unui străin să vă vadă ecranul și să vă controleze mouse-ul și tastatura de la distanță ca și cum ar fi stat în fața computerului dvs.) la afirmația cuiva care tocmai v-a sunat, chiar dacă credeți că sunt din propriul departament IT.
Dacă nu i-ai sunat, aproape sigur nu vei fi niciodată sigur cine sunt.
- TELLTALALE 4: O solicitare de instalare a unui plugin de browser.
În cazul Coinbase, instrumentul pe care escrocii doreau ca victima să-l folosească s-a numit EditThisCookie (un mod ultra-simplu de a prelua secrete, cum ar fi jetoanele de acces din browserul unui utilizator), dar ar trebui să refuzați să instalați orice plugin de browser pe să spunem... deci de cineva pe care nu-l cunoști și pe care nu l-ai întâlnit niciodată.
Pluginurile de browser obțin acces aproape neîngrădit la tot ceea ce introduceți în browser, inclusiv parolele, înainte de a fi criptate și la tot ce afișează browserul dvs., după ce a fost decriptat.
Pluginurile nu pot doar să vă spioneze navigarea, ci și să modifice în mod invizibil ceea ce introduceți înainte de a fi transmis și conținutul pe care îl primiți înapoi înainte de a apărea pe ecran.
Ce să fac?
Pentru a repeta și a dezvolta sfaturile pe care le-am dat până acum:
- Nu vă conectați niciodată făcând clic pe linkurile din mesaje. Ar trebui să știi singur unde să mergi, fără a avea nevoie de „ajutor” de la un mesaj care ar fi putut veni de oriunde.
- Nu primi niciodată sfaturi IT de la persoanele care te sună. Ar trebui să știi unde să te suni, pentru a reduce riscul de a fi contactat de un escroc care știe exact momentul potrivit să intre și să pară că te „ajută”.
- Nu instalați niciodată software-ul pe baza unui angajat IT pe care nu l-ați verificat. Nici măcar nu instalați software-ul pe care îl considerați sigur, deoarece cel care apelează vă va direcționa probabil către o descărcare cu capcană în care a fost deja adăugat malware.
- Nu răspunde niciodată la un mesaj sau la un apel întrebând dacă este autentic. Expeditorul sau apelantul vă va spune pur și simplu ceea ce doriți să auziți. Raportați contactele suspecte propriei echipe de securitate cât mai curând posibil.
În acest caz, Coinbase spune că propria echipă de securitate a fost capabilă să utilizeze tehnici XDR, identificând tipare neobișnuite de activitate (de exemplu, încercări de conectare prin intermediul unui serviciu VPN neașteptat) și să intervină în aproximativ 10 minute.
Acest lucru însemna că individul atacat nu numai că a întrerupt orice contact cu infractorii imediat, înainte de a fi făcut prea mult rău, dar știa că trebuie să fie foarte atent în cazul în care atacatorii se întorceau cu încă mai multe trucuri, contra și așa-zise. adversar activ șmecherie.
Asigurați-vă că sunteți parte umană din „rețeaua de senzori” XDR a companiei dvs., împreună cu oricare instrumente tehnologice echipa ta de securitate are loc.
A oferi apărătorilor tăi activi mai mult pentru a continua doar „adresa sursă VPN afișată în jurnalele de acces” înseamnă că vor fi mult mai bine echipați pentru a detecta și a răspunde la un atac activ.
AFLĂ MAI MULTE DESPRE ADVERSARI ACTIVI
În viața reală, ce funcționează cu adevărat pentru escrocii cibernetici atunci când inițiază un atac? Cum găsiți și tratați cauza de bază a unui atac, în loc să vă ocupați doar de simptomele evidente?
Aflați mai multe despre XDR ȘI MDR
Nu aveți timp sau experiență pentru a vă ocupa de răspunsul la amenințările de securitate cibernetică? Vă faceți griji că securitatea cibernetică vă va distrage atenția de la toate celelalte lucruri pe care trebuie să le faceți?
Aruncă o privire la Sophos Managed Detection and Response:
Vânătoarea, detectarea și răspunsul amenințărilor 24/7 ▶
AFLĂ MAI MULTE DESPRE INGINERIA SOCIALĂ
Vino alături de noi pentru un interviu fascinant cu Rachel Tobac, campioana DEFCON Inginerie socială Capture the Flag, despre cum să detectezi și să respingi escrocii, inginerii sociali și alți criminali cibernetici nelegiuiți.
Nu apare niciun player podcast mai jos? Asculta direct pe Soundcloud.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Capabil
- Despre Noi
- Absolut
- absolut
- abuz
- academic
- acces
- Cont
- dobândite
- dobândirea
- activ
- activ
- activitate
- adăugat
- adresa
- adrese
- sfat
- După
- împotriva
- împotriva atacatorilor
- TOATE
- singur
- deja
- între
- sumă
- și
- oriunde
- aplicaţia
- aparent
- apărea
- articol
- ataca
- Atacuri
- a încercat să
- Autentificare
- autor
- Auto
- înapoi
- imagine de fundal
- deoarece
- înainte
- fiind
- de mai jos
- Mai bine
- între
- Pic
- blocarea
- frontieră
- De jos
- marca
- încălcarea
- Rupt
- browser-ul
- Navigare
- apel
- denumit
- apelant
- captura
- pasă
- caz
- Provoca
- Centru
- sigur
- cu siguranță
- certitudine
- cod
- coinbase
- lui Coinbase
- culoare
- cum
- companie
- Compania
- Completă
- compromis
- calculator
- cu încredere
- Contra
- Lua în considerare
- contactați-ne
- contacte
- conţinut
- Control
- controale
- comoditate
- Istoria
- ar putea
- acoperi
- scrisori de acreditare
- criminali
- cryptocurrency
- Schimb de criptomonede
- client
- Cyber
- criminalităţii cibernetice
- CYBERCRIMINAL
- cybercriminals
- Securitate cibernetică
- tablou de bord
- de date
- Baza de date
- Zi
- abuzive
- hotărât
- apărătorii
- Departament
- descris
- detalii
- detectat
- Detectare
- dezvolta
- FĂCUT
- direcționa
- Afişa
- afișează
- Nu
- Dont
- Descarca
- Mai devreme
- oricare
- Angajat
- criptate
- Inginerie
- inginerii
- suficient de
- încredințate
- echipat
- Chiar
- toată lumea
- tot
- exact
- exemplu
- schimb
- executiv
- existent
- cu experienţă
- expertiză
- expus
- extindere
- A eșuat
- destul de
- fals
- puțini
- camp
- final
- Găsi
- urma
- a urmat
- următor
- din fericire
- din
- faţă
- Fondurile
- viitor
- câștigă
- în general
- obține
- obtinerea
- dat
- oferă
- Oferirea
- Go
- bine
- la indemana
- Piese metalice
- recoltare
- auzi
- înălțime
- sugestii
- istoric
- deţine
- planare
- Cum
- Cum Pentru a
- HTTPS
- uman
- Vânătoare
- imediat
- important
- in
- înclinat
- inclus
- Inclusiv
- individ
- informații
- iniția
- instala
- in schimb
- interesant
- interveni
- implicat
- IT
- jargon
- a sari
- A pastra
- Cunoaște
- cunoscut
- laptop
- Ultimele
- Viaţă
- Limitat
- LINK
- Link-uri
- Listă
- mic
- Lung
- Uite
- cautati
- de pe
- malware
- gestionate
- multe
- Margine
- max-width
- MEA
- mijloace
- pur și simplu
- mesaj
- mesaje
- ar putea
- minute
- modifica
- mai mult
- cele mai multe
- nume
- nume
- Natură
- Nevoie
- au nevoie
- reţea
- următor
- normală.
- notat
- notificare
- numere
- evident
- oferit
- ONE
- on-line
- Altele
- Altele
- Outsourcing
- propriu
- parte
- Parolă
- Parolele
- modele
- Paul
- oameni
- poate
- fază
- phish
- Phishing
- telefon
- Apel telefonic
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- player
- conecteaza
- Plugin-uri
- Podcast
- poziţie
- postări
- probabil
- Proceduri
- proces
- Program
- protejat
- protecţie
- furnizează
- furnizarea
- gamă
- Citeste
- Cititor
- gata
- real
- viata reala
- recent
- reduce
- se referă
- regulat
- relativ
- rămas
- la distanta
- acces de la distanță
- repeta
- răspuns
- raportează
- Rapoarte
- solicita
- Răspunde
- răspuns
- revelator
- Richard
- Risc
- Alerga
- sigur
- Said
- spune
- Escrocii
- Ecran
- ecrane
- căutare
- Al doilea
- secundar
- secunde
- Secret
- securitate
- pare
- propoziție
- serviciu
- Pantaloni scurți
- să
- pur şi simplu
- teren
- Ședință
- SMS-uri
- So
- până acum
- Social
- Inginerie sociala
- Software
- vândut
- solid
- unele
- Cineva
- oarecum
- Sursă
- Personal
- Stadiile
- Începe
- stabilit
- Încă
- furate
- rezistenţă
- astfel de
- REZUMAT
- suspicios
- SVG
- Simptome
- sistem
- Lua
- echipă
- echipe
- tehnici de
- Terminal
- mulțumesc
- Coinbase
- lor
- lucruri
- amenințare
- amenințări
- Aruncare
- timp
- Sfaturi
- la
- indicativele
- de asemenea
- instrument
- Unelte
- top
- tradiţional
- tranziţie
- transparent
- trata
- declanşa
- ÎNTORCĂ
- Cotitură
- tipic
- în cele din urmă
- în
- care stau la baza
- înţelege
- Neașteptat
- URL-ul
- us
- utilizare
- Utilizator
- obișnuit
- verificat
- de
- Victimă
- Vizualizare
- VPN
- Aşteptare
- dorit
- vizionarea
- bine cunoscut
- Ce
- care
- în timp ce
- OMS
- lățime
- voi
- dispus
- în
- fără
- formulare
- cuvinte
- Apartamente
- fabrică
- îngrijorat
- X
- XDR
- Tu
- Ta
- te
- zephyrnet