Популярная криптовалютная биржа Coinbase — это последняя известная онлайн-брендовая марка, которая признал к взлому.
Компания решила превратить свой отчет о взломе в интересное сочетание частичной вины и полезных советов для других.
Как и в недавнем случае с Reddit., компания не удержалась от слов на букву S (сложный), который снова, кажется, следует определению, предложенному читателем Naked Secuity Ричардом Пеннингтоном в недавний комментарий, где он отметил, что «Изощренный» обычно переводится как «лучше, чем наша защита»..
Мы склонны согласиться с тем, что во многих, если не в большинстве отчетов о взломе, где угрозы и злоумышленники описываются как сложный or продвинутый, эти слова действительно используются относительно (т.е. слишком хорошо для нас), а не абсолютно (например, слишком хорошо для всех).
Coinbase уверенно заявила в резюме в начале своей статьи:
К счастью, средства киберконтроля Coinbase не позволили злоумышленнику получить прямой доступ к системе и предотвратили потерю средств или компрометацию информации о клиентах.
Но эта кажущаяся уверенность была подорвана признанием в следующем же предложении, что:
Был раскрыт только ограниченный объем данных из нашего корпоративного каталога.
К сожалению, один из излюбленных TTP (инструментов, методов и процедур), используемых киберпреступниками, известен на жаргоне как боковое движение, который относится к уловке использования информации и доступа, полученных в одной части взлома, в более широкий доступ к системе.
Другими словами, если киберпреступник может использовать компьютер X, принадлежащий пользователю Y, для извлечения конфиденциальных корпоративных данных из базы данных Z (в данном случае, к счастью, ограниченных именами сотрудников, адресами электронной почты и номерами телефонов)…
…тогда заявление о том, что злоумышленник не «получил прямой доступ к системе», звучит как довольно академическое отличие, даже если системные администраторы среди нас, вероятно, понимают эти слова как подразумевающие, что преступники не получили терминальную подсказку, с которой они могли бы выполнить любую системную команду, которую они хотели.
Советы для защитников от угроз
Тем не менее, Coinbase перечислила некоторые инструменты, методы и процедуры киберпреступников, с которыми она столкнулась в этой атаке, и список содержит несколько полезных советов для специалистов по защите от угроз и команд XDR.
XDR в наши дни стал модным словечком (это сокращение от расширенное обнаружение и ответ), но мы думаем, что самый простой способ описать это:
Расширенное обнаружение и реагирование означает регулярный и активный поиск намеков на то, что кто-то не в порядке в вашей сети, вместо того, чтобы ждать, пока традиционные обнаружения кибербезопасности на вашей панели реагирования на угрозы вызовут реакцию.
Очевидно, что XDR не означает отключение ваших существующих инструментов оповещения и блокировки кибербезопасности, но это означает расширение диапазона и характера вашего поиска угроз, чтобы вы не только искали киберпреступников, когда вы достаточно уверены, что они уже прибыли, но и присматривать за ними, пока они готовятся к атаке.
Атака на Coinbase, реконструированная из несколько стаккато компании аккаунт , по-видимому, включает следующие этапы:
- КОНТРОЛЬ 1: Попытка фишинга с помощью SMS.
С помощью SMS сотрудникам было предложено войти в систему, чтобы прочитать важное корпоративное уведомление.
Для удобства сообщение содержало ссылку для входа, но эта ссылка вела на фиктивный сайт, который перехватывал имена пользователей и пароли.
Судя по всему, злоумышленники не знали или не думали, что для получения 2FA (кода двухфакторной аутентификации) им потребуется ввести имя пользователя и пароль, поэтому эта часть атаки ни к чему не привела. .
Мы не знаем, как 2FA защитил аккаунт. Возможно, Coinbase использует аппаратные токены, такие как Yubikeys, которые не работают, просто предоставляя шестизначный код, который вы транскрибируете со своего телефона в браузер или приложение для входа? Возможно, мошенники вообще не запросили код? Возможно, сотрудник заметил фишинг после того, как выдал свой пароль, но до того, как раскрыл последний одноразовый секрет, необходимый для завершения процесса? Из формулировки в отчете Coinbase мы подозреваем, что мошенники либо забыли, либо не смогли найти правдоподобный способ захвата необходимых данных 2FA на своих поддельных экранах входа в систему. Не переоценивайте силу двухфакторной аутентификации на основе приложений или SMS. Любой процесс 2FA, основанный на простом вводе кода, отображаемого на вашем телефоне, в поле на вашем ноутбуке, обеспечивает очень слабую защиту от злоумышленников, которые готовы и хотят немедленно проверить ваши фишинговые учетные данные. Эти SMS или коды, сгенерированные приложениями, обычно ограничены только временем, они остаются действительными в течение от 2 секунд до нескольких минут, что обычно дает злоумышленникам достаточно времени, чтобы собрать их и использовать до истечения срока их действия.
- СВИДЕТЕЛЬСТВО 2: Телефонный звонок от кого-то, кто сказал, что он из ИТ.
Помните, что эта атака в конечном итоге привела к тому, что преступники получили список контактных данных сотрудников, которые, как мы предполагаем, в конечном итоге будут проданы или переданы в подполье киберпреступности для других мошенников, чтобы использовать их в будущих атаках.
Даже если вы пытались сохранить конфиденциальность своих рабочих контактных данных, они все равно могут быть широко известны из-за более раннего взлома, который вы могли не обнаружить, или из-за исторической атаки на вторичный источник, такой как аутсорсинг. компании, которой вы когда-то доверили свои кадровые данные.
- КОНТРОЛЬ 3: Запрос на установку программы удаленного доступа.
Во время взлома Coinbase социальные инженеры, которые звонили на втором этапе атаки, очевидно, попросили жертву установить AnyDesk, а затем ISL Online.
Никогда не устанавливайте никакое программное обеспечение, не говоря уже об инструментах удаленного доступа (которые позволяют постороннему человеку видеть ваш экран и удаленно управлять вашей мышью и клавиатурой, как если бы они сидели перед вашим компьютером) с разрешения того, кто вам только что звонил, даже если вы думаете, что они из вашего собственного ИТ-отдела.
Если вы им не звонили, вы почти наверняка никогда не узнаете, кто они.
- TELLTALE 4: Запрос на установку плагина для браузера.
В случае с Coinbase инструмент, который мошенники хотели, чтобы жертва использовала, назывался EditThisCookie (ультра-простой способ получения секретов, таких как токены доступа, из браузера пользователя), но вам следует отказаться от установки какого-либо плагина для браузера. так о ком-то, кого вы не знаете и никогда не встречали.
Плагины для браузера получают почти неограниченный доступ ко всему, что вы вводите в браузере, включая пароли, до того, как они будут зашифрованы, и ко всему, что отображается в вашем браузере, после расшифровки.
Плагины могут не только следить за вашим просмотром, но и незаметно изменять то, что вы вводите, до того, как оно будет передано, и контент, который вы получаете обратно, до того, как он появится на экране.
Что делать?
Чтобы повторить и развить совет, который мы дали до сих пор:
- Никогда не авторизуйтесь, переходя по ссылкам в сообщениях. Вы должны сами знать, куда идти, не нуждаясь в «помощи» сообщения, которое могло прийти откуда угодно.
- Никогда не принимайте советы по ИТ от людей, которые вам звонят. Вы должны знать, куда звонить самостоятельно, чтобы снизить риск того, что с вами свяжется мошенник, который точно знает, когда нужно вмешаться и сделать вид, что «помогает» вам.
- Никогда не устанавливайте программное обеспечение по указанию ИТ-специалиста, которого вы не проверили. Не устанавливайте даже программное обеспечение, которое вы сами считаете безопасным, потому что звонящий, вероятно, направит вас к загруженному файлу-ловушке, в который уже добавлено вредоносное ПО.
- Никогда не отвечайте на сообщение или звонок, спрашивая, являются ли они подлинными. Отправитель или вызывающий абонент просто скажет вам то, что вы хотите услышать. Как можно скорее сообщите о подозрительных контактах своей службе безопасности.
В этом случае Coinbase заявляет, что ее собственная служба безопасности смогла использовать методы XDR, обнаружив необычные модели активности (например, попытки входа в систему через неожиданную службу VPN) и вмешаться в течение примерно 10 минут.
Это означало, что человек, подвергшийся нападению, не только сразу прервал все контакты с преступниками, пока не было нанесено слишком много вреда, но знал, что должен быть особенно осторожен на случай, если нападавшие вернутся с новыми уловками, аферами и так называемыми активный противник обман.
Убедитесь, что вы являетесь частью «сенсорной сети» XDR вашей компании, наряду с любым технологические инструменты ваша команда безопасности на месте.
Предоставление вашим активным защитникам большего, чем просто «адрес источника VPN, отображаемый в журналах доступа», означает, что они будут намного лучше оснащены для обнаружения и реагирования на активную атаку.
УЗНАЙТЕ БОЛЬШЕ ОБ АКТИВНЫХ ПРОТИВНИКАХ
В реальной жизни, что действительно работает для киберпреступников, когда они инициируют атаку? Как найти и лечить основную причину приступа, а не просто бороться с очевидными симптомами?
УЗНАЙТЕ БОЛЬШЕ О XDR И MDR
Не хватает времени или опыта, чтобы позаботиться о реагировании на угрозы кибербезопасности? Беспокоитесь, что кибербезопасность в конечном итоге отвлечет вас от всех других вещей, которые вам нужно сделать?
Взгляните на Sophos Managed Detection and Response:
Круглосуточный поиск угроз, обнаружение и реагирование ▶
УЗНАТЬ БОЛЬШЕ О СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Присоединяйтесь к нам для увлекательное интервью с Рэйчел Тобак, чемпионом DEFCON по социальной инженерии Capture the Flag, о том, как выявлять и давать отпор мошенникам, социальным инженерам и другим подлым киберпреступникам.
Ниже нет проигрывателя подкастов? Слушать прямо на саундклауде.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- в состоянии
- О нас
- Absolute
- абсолютно
- злоупотребление
- академический
- доступ
- Учетная запись
- приобретенный
- приобретение
- активный
- активно
- деятельность
- добавленный
- адрес
- адреса
- совет
- После
- против
- против злоумышленников
- Все
- в одиночестве
- уже
- среди
- количество
- и
- откуда угодно
- приложение
- очевидный
- появиться
- гайд
- атаковать
- нападки
- попытка
- Аутентификация
- автор
- автоматический
- назад
- Фоновое изображение
- , так как:
- до
- не являетесь
- ниже
- Лучшая
- между
- Немного
- блокирование
- граница
- Дно
- марка
- нарушение
- Сломался
- браузер
- просмотр
- призывают
- под названием
- гость
- захватить
- заботится
- случаев
- Вызывать
- Центр
- определенный
- конечно
- уверенность
- код
- coinbase
- Coinbase-х
- цвет
- как
- Компания
- Компании
- полный
- скомпрометированы
- компьютер
- уверенно
- Минусы
- Рассматривать
- обращайтесь
- контакты
- содержание
- контроль
- контрольная
- удобство
- Корпоративное
- может
- чехол для варгана
- Полномочия
- Преступники
- криптовалюта
- Cryptocurrency Exchange
- клиент
- кибер-
- киберпреступности
- КИБЕРПРЕСТУПНИК
- киберпреступники
- Информационная безопасность
- приборная панель
- данным
- База данных
- Дней
- занимавшийся
- решенный
- Защитники
- Кафедра
- описано
- подробнее
- обнаруженный
- обнаружение
- развивать
- DID
- направлять
- Дисплей
- дисплеев
- не
- Dont
- скачать
- Электронная почта:
- Ранее
- или
- Сотрудник
- зашифрованный
- Проект и
- Инженеры
- достаточно
- доверено
- оборудованный
- Даже
- все члены
- многое
- точно,
- пример
- обмена
- исполнительный
- существующий
- опытные
- опыта
- подвергаться
- простирающийся
- Oшибка
- достаточно
- не настоящие
- несколько
- поле
- окончательный
- Найдите
- следовать
- следует
- после
- К счастью
- от
- передний
- средства
- будущее
- получение
- в общем
- получить
- получающий
- данный
- дает
- Отдаете
- Go
- хорошо
- удобный
- Аппаратные средства
- урожай
- слышать
- высота
- подсказки
- исторический
- держать
- зависать
- Как
- How To
- HTTPS
- человек
- охота
- немедленно
- важную
- in
- наклонены
- включены
- В том числе
- individual
- информация
- инициировать
- устанавливать
- вместо
- интересный
- вмешиваться
- вовлеченный
- IT
- жаргон
- Прыгать
- Сохранить
- Знать
- известный
- портативный компьютер
- последний
- ЖИЗНЬЮ
- Ограниченный
- LINK
- связи
- Список
- мало
- Длинное
- посмотреть
- искать
- от
- вредоносных программ
- управляемого
- многих
- Маржа
- макс-ширина
- MEA
- означает
- просто
- сообщение
- Сообщения
- может быть
- Минут
- изменять
- БОЛЕЕ
- самых
- имя
- имена
- природа
- Необходимость
- нуждающихся
- сеть
- следующий
- "обычные"
- отметил,
- уведомление
- номера
- Очевидный
- предложенный
- ONE
- онлайн
- Другое
- Другое
- Аутсорсинг
- собственный
- часть
- Пароль
- пароли
- паттеранами
- Пол
- Люди
- возможно
- фаза
- фишинга
- фишинг
- Телефон
- Телефонный звонок
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игрок
- плагин
- плагины
- Подкаст
- должность
- Блог
- вероятно
- Процедуры
- процесс
- FitPartner™
- защищенный
- защиту
- приводит
- обеспечение
- ассортимент
- Читать
- читатель
- готовый
- реальные
- реальная жизнь
- последний
- уменьшить
- понимается
- регулярно
- относительно
- осталось
- удаленные
- удаленный доступ
- повторять
- Ответить
- отчету
- Отчеты
- запросить
- Реагируйте
- ответ
- выявление
- Ричард
- Снижение
- Run
- безопасный
- Сказал
- говорит
- Мошенники
- экран
- Экраны
- поиск
- Во-вторых
- вторичный
- секунды
- Secret
- безопасность
- кажется
- предложение
- обслуживание
- Короткое
- должен
- просто
- сайте
- Сидящий
- SMS
- So
- уже
- Соцсети
- Социальная инженерия
- Software
- проданный
- твердый
- некоторые
- Кто-то
- в некотором роде
- Источник
- Персонал
- этапы
- Начало
- заявил
- По-прежнему
- украли
- прочность
- такие
- РЕЗЮМЕ
- подозрительный
- SVG
- симптомы
- система
- взять
- команда
- команды
- снижения вреда
- Терминал
- Спасибо
- Ассоциация
- Coinbase
- их
- вещи
- угроза
- угрозы
- Бросание
- время
- Советы
- в
- Лексемы
- слишком
- инструментом
- инструменты
- топ
- традиционный
- переход
- прозрачный
- лечить
- вызвать
- ОЧЕРЕДЬ
- Поворот
- типично
- В конечном счете
- под
- лежащий в основе
- понимать
- Неожиданный
- URL
- us
- использование
- Информация о пользователе
- обычно
- проверено
- с помощью
- Жертва
- Вид
- VPN
- Ожидание
- стремятся
- наблюдение
- известный
- Что
- который
- в то время как
- КТО
- ширина
- будете
- готовый
- в
- без
- формулировка
- слова
- Работа
- работает
- беспокоиться
- X
- XDR
- Ты
- ВАШЕ
- себя
- зефирнет