Trao đổi tiền điện tử phổ biến Coinbase là thương hiệu trực tuyến nổi tiếng mới nhất thừa nhận để nhận được vi phạm.
Công ty đã quyết định biến báo cáo vi phạm của mình thành một sự kết hợp thú vị giữa một phần lỗi sai và lời khuyên hữu ích cho những người khác.
Như trường hợp gần đây của Reddit, công ty không thể cưỡng lại việc đưa ra từ S (tinh vi), một lần nữa dường như tuân theo định nghĩa do độc giả Richard Pennington của Naked Secuity đưa ra trong một nhận xét gần đây, nơi ông lưu ý rằng 'Tinh vi' thường được dịch là 'tốt hơn khả năng phòng thủ của chúng tôi'.
Chúng tôi có xu hướng đồng ý rằng trong nhiều báo cáo vi phạm, nếu không muốn nói là hầu hết, trong đó các mối đe dọa và kẻ tấn công được mô tả là tinh vi or tiên tiến, những từ đó thực sự được sử dụng một cách tương đối (tức là quá tốt cho chúng tôi) chứ không phải là tuyệt đối (ví dụ như quá tốt cho mọi người).
Coinbase tự tin tuyên bố, trong phần tóm tắt điều hành ở đầu bài viết:
May mắn thay, các biện pháp kiểm soát không gian mạng của Coinbase đã ngăn kẻ tấn công truy cập trực tiếp vào hệ thống và ngăn chặn mọi tổn thất về tiền hoặc xâm phạm thông tin khách hàng.
Nhưng sự chắc chắn rõ ràng đó đã bị hủy hoại bởi lời thừa nhận, ngay trong câu tiếp theo, rằng:
Chỉ một lượng dữ liệu hạn chế từ thư mục công ty của chúng tôi bị lộ.
Thật không may, một trong những TTP yêu thích (công cụ, kỹ thuật và thủ tục) được sử dụng bởi tội phạm mạng được biết đến trong biệt ngữ là chuyển động bên, đề cập đến mánh khóe sắp xếp thông tin và quyền truy cập có được trong một phần vi phạm quyền truy cập hệ thống rộng hơn bao giờ hết.
Nói cách khác, nếu tội phạm mạng có thể lạm dụng máy tính X thuộc về người dùng Y để lấy dữ liệu bí mật của công ty từ cơ sở dữ liệu Z (may mắn thay, trong trường hợp này chỉ giới hạn ở tên nhân viên, địa chỉ e-mail và số điện thoại)…
…thì việc nói rằng kẻ tấn công không “đạt được quyền truy cập trực tiếp vào hệ thống” nghe có vẻ như là một sự phân biệt mang tính hàn lâm, ngay cả khi các quản trị viên hệ thống trong chúng ta có thể hiểu những từ đó để ám chỉ rằng bọn tội phạm đã không kết thúc bằng dấu nhắc thiết bị đầu cuối mà chúng có thể chạy bất kỳ lệnh hệ thống nào họ muốn.
Lời khuyên cho những người bảo vệ mối đe dọa
Tuy nhiên, Coinbase đã liệt kê một số công cụ, kỹ thuật và quy trình tội phạm mạng mà họ đã trải qua trong cuộc tấn công này và danh sách này cung cấp một số mẹo hữu ích cho những người bảo vệ mối đe dọa và nhóm XDR.
XDR là một từ thông dụng ngày nay (nó là viết tắt của phát hiện và phản hồi mở rộng), nhưng chúng tôi nghĩ rằng cách mô tả đơn giản nhất là:
Khả năng phát hiện và phản hồi mở rộng có nghĩa là thường xuyên và tích cực tìm kiếm các dấu hiệu cho thấy ai đó có ý đồ xấu trong mạng của bạn, thay vì đợi các phát hiện an ninh mạng truyền thống trong bảng điều khiển ứng phó với mối đe dọa của bạn để kích hoạt phản hồi.
Rõ ràng, XDR không có nghĩa là tắt các công cụ ngăn chặn và cảnh báo an ninh mạng hiện tại của bạn, nhưng nó có nghĩa là mở rộng phạm vi và bản chất của việc săn lùng mối đe dọa của bạn, để bạn không chỉ tìm kiếm tội phạm mạng khi bạn khá chắc chắn rằng chúng đã đã đến, nhưng cũng phải đề phòng chúng khi chúng vẫn đang chuẩn bị tấn công.
Cuộc tấn công Coinbase, được xây dựng lại từ phần nào đó của công ty Tài khoản, dường như đã tham gia vào các giai đoạn sau:
- TUYỆT VỜI 1: Một nỗ lực lừa đảo dựa trên SMS.
Nhân viên được khuyến khích đăng nhập qua SMS để đọc một thông báo quan trọng của công ty.
Để thuận tiện, tin nhắn bao gồm một liên kết đăng nhập, nhưng liên kết đó đã dẫn đến một trang web không có thật đã lấy được tên người dùng và mật khẩu.
Rõ ràng, những kẻ tấn công không biết hoặc không nghĩ rằng để có được 2FA (mã xác thực hai yếu tố), họ cần phải đi cùng với tên người dùng và mật khẩu, vì vậy phần tấn công này chẳng có tác dụng gì. .
Chúng tôi không biết cách 2FA bảo vệ tài khoản. Có lẽ Coinbase sử dụng mã thông báo phần cứng, chẳng hạn như Yubikeys, không hoạt động đơn giản bằng cách cung cấp mã gồm sáu chữ số mà bạn chuyển từ điện thoại sang trình duyệt hoặc ứng dụng đăng nhập? Có lẽ những kẻ lừa đảo đã thất bại trong việc yêu cầu mã? Có lẽ nhân viên đã phát hiện ra trò lừa đảo sau khi tiết lộ mật khẩu của họ nhưng trước khi tiết lộ bí mật một lần cuối cùng cần thiết để hoàn tất quy trình? Từ cách diễn đạt trong báo cáo của Coinbase, chúng tôi nghi ngờ rằng những kẻ lừa đảo đã quên hoặc không thể tìm ra cách đáng tin cậy để thu thập dữ liệu 2FA cần thiết trong màn hình đăng nhập giả mạo của chúng. Đừng đánh giá quá cao sức mạnh của 2FA dựa trên ứng dụng hoặc dựa trên SMS. Bất kỳ quy trình 2FA nào chỉ dựa vào việc nhập mã được hiển thị trên điện thoại của bạn vào một trường trên máy tính xách tay của bạn sẽ cung cấp rất ít sự bảo vệ chống lại những kẻ tấn công sẵn sàng và sẵn sàng dùng thử thông tin đăng nhập lừa đảo của bạn ngay lập tức. Các mã SMS hoặc mã do ứng dụng tạo đó thường chỉ bị giới hạn theo thời gian, còn hiệu lực trong khoảng từ 30 giây đến vài phút, điều này thường cho phép kẻ tấn công đủ thời gian để thu thập và sử dụng chúng trước khi chúng hết hạn.
- TIẾP TỤC 2: Một cuộc điện thoại từ ai đó nói rằng họ đến từ CNTT.
Hãy nhớ rằng cuộc tấn công này cuối cùng đã dẫn đến việc bọn tội phạm có được danh sách chi tiết liên hệ của nhân viên mà chúng tôi cho rằng cuối cùng sẽ được bán hoặc cho đi trong thế giới ngầm của tội phạm mạng để những kẻ lừa đảo khác lợi dụng trong các cuộc tấn công trong tương lai.
Ngay cả khi bạn đã cố gắng giữ bí mật các chi tiết liên hệ công việc của mình, thì dù sao thì chúng cũng có thể đã ở ngoài đó và được nhiều người biết đến, nhờ một vi phạm trước đó mà bạn có thể không phát hiện ra hoặc do một cuộc tấn công lịch sử nhằm vào nguồn thứ cấp, chẳng hạn như một công ty gia công phần mềm công ty mà bạn đã từng giao phó dữ liệu nhân viên của mình.
- TUYỆT VỜI 3: Yêu cầu cài đặt chương trình truy cập từ xa.
Trong vụ vi phạm Coinbase, các kỹ sư xã hội đã gọi đến trong giai đoạn thứ hai của cuộc tấn công dường như đã yêu cầu nạn nhân cài đặt AnyDesk, sau đó là ISL Online.
Đừng bao giờ cài đặt bất kỳ phần mềm nào, chứ đừng nói đến các công cụ truy cập từ xa (cho phép người ngoài xem màn hình của bạn và điều khiển chuột và bàn phím của bạn từ xa như thể họ đang ngồi trước máy tính của bạn) theo lời của người vừa gọi cho bạn, ngay cả khi bạn nghĩ rằng họ đến từ bộ phận CNTT của chính bạn.
Nếu bạn không gọi cho họ, gần như chắc chắn bạn sẽ không bao giờ biết chắc họ là ai.
- TUYỆT VỜI 4: Yêu cầu cài đặt plugin trình duyệt.
Trong trường hợp Coinbase, công cụ mà kẻ lừa đảo muốn nạn nhân sử dụng được gọi là EditThisCookie (một cách cực kỳ đơn giản để truy xuất các bí mật như mã thông báo truy cập từ trình duyệt của người dùng), nhưng bạn nên từ chối cài đặt bất kỳ plugin trình duyệt nào trên công cụ nói- vì vậy của một người mà bạn không biết và chưa bao giờ gặp.
Phần bổ trợ của trình duyệt có quyền truy cập hầu như không bị cản trở vào mọi thứ bạn nhập vào trình duyệt của mình, bao gồm cả mật khẩu, trước khi chúng được mã hóa và mọi thứ mà trình duyệt của bạn hiển thị, sau khi được giải mã.
Plugin không chỉ có thể theo dõi quá trình duyệt web của bạn mà còn sửa đổi một cách vô hình những gì bạn nhập vào trước khi nó được truyền đi và nội dung bạn lấy lại trước khi nó xuất hiện trên màn hình.
Phải làm gì?
Để lặp lại và phát triển lời khuyên mà chúng tôi đã đưa ra cho đến nay:
- Không bao giờ đăng nhập bằng cách nhấp vào liên kết trong tin nhắn. Bạn nên tự biết mình phải đi đâu, không cần sự “trợ giúp” từ một tin nhắn có thể đến từ bất cứ đâu.
- Không bao giờ nhận lời khuyên CNTT từ những người gọi cho bạn. Bạn nên biết nơi để gọi cho chính mình, để giảm nguy cơ bị kẻ lừa đảo liên hệ, kẻ biết chính xác thời điểm thích hợp để nhảy vào và có vẻ như đang “giúp đỡ” bạn.
- Không bao giờ cài đặt phần mềm theo yêu cầu của nhân viên CNTT mà bạn chưa xác minh. Thậm chí đừng cài đặt phần mềm mà bản thân bạn cho là an toàn, bởi vì người gọi có thể sẽ hướng dẫn bạn đến một bản tải xuống bị mắc kẹt trong đó phần mềm độc hại đã được thêm vào.
- Không bao giờ trả lời tin nhắn hoặc cuộc gọi bằng cách hỏi xem đó có phải là hàng thật hay không. Người gửi hoặc người gọi sẽ chỉ cho bạn biết những gì bạn muốn nghe. Báo cáo các liên hệ đáng ngờ cho nhóm bảo mật của riêng bạn ngay khi có thể.
Trong trường hợp này, Coinbase cho biết nhóm bảo mật của riêng họ có thể sử dụng các kỹ thuật XDR, phát hiện ra các kiểu hoạt động bất thường (ví dụ: đã cố đăng nhập qua dịch vụ VPN không mong muốn) và can thiệp trong vòng khoảng 10 phút.
Điều này có nghĩa là cá nhân bị tấn công không chỉ cắt đứt mọi liên lạc với bọn tội phạm ngay lập tức, trước khi gây ra quá nhiều tổn hại, mà còn phải hết sức cẩn thận trong trường hợp những kẻ tấn công quay lại với nhiều mưu mẹo, khuyết điểm hơn và cái gọi là đối thủ tích cực mánh khóe.
Đảm bảo rằng bạn cũng là một phần con người trong “mạng cảm biến” XDR của công ty bạn, cùng với bất kỳ công cụ công nghệ đội an ninh của bạn đã sẵn sàng.
Cung cấp cho những người bảo vệ tích cực của bạn nhiều hơn để tiếp tục mà chỉ “địa chỉ nguồn VPN xuất hiện trong nhật ký truy cập” có nghĩa là họ sẽ được trang bị tốt hơn nhiều để phát hiện và ứng phó với một cuộc tấn công đang hoạt động.
TÌM HIỂU THÊM VỀ ĐỐI THỦ HOẠT ĐỘNG
Trong cuộc sống thực, điều gì thực sự hiệu quả đối với những kẻ lừa đảo trên mạng khi chúng bắt đầu một cuộc tấn công? Làm thế nào để bạn tìm và điều trị nguyên nhân cơ bản của một cuộc tấn công, thay vì chỉ giải quyết các triệu chứng rõ ràng?
TÌM HIỂU THÊM VỀ XDR VÀ MDR
Thiếu thời gian hoặc chuyên môn để xử lý các mối đe dọa an ninh mạng? Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung khỏi tất cả những việc khác mà bạn cần làm?
Hãy xem Sophos Managed Detection and Response:
Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7 ▶
TÌM HIỂU THÊM VỀ KỸ THUẬT XÃ HỘI
Tham gia với chúng tôi để có một cuộc phỏng vấn hấp dẫn với Rachel Tobac, nhà vô địch của DEFCON Social Engineering Capture the Flag, về cách phát hiện và đẩy lùi những kẻ lừa đảo, kỹ sư xã hội và tội phạm mạng nhếch nhác khác.
Không có trình phát podcast nào hiển thị bên dưới? Nghe trực tiếp trên Soundcloud.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Có khả năng
- Giới thiệu
- Tuyệt đối
- hoàn toàn
- lạm dụng
- học tập
- truy cập
- Tài khoản
- mua lại
- có được
- hoạt động
- tích cực
- hoạt động
- thêm
- địa chỉ
- địa chỉ
- tư vấn
- Sau
- chống lại
- chống lại những kẻ tấn công
- Tất cả
- cô đơn
- Đã
- giữa
- số lượng
- và
- bất cứ nơi nào
- ứng dụng
- rõ ràng
- xuất hiện
- bài viết
- tấn công
- Các cuộc tấn công
- đã cố gắng
- Xác thực
- tác giả
- tự động
- trở lại
- background-image
- bởi vì
- trước
- được
- phía dưới
- Hơn
- giữa
- Một chút
- ngăn chặn
- biên giới
- đáy
- thương hiệu
- vi phạm
- Broke
- trình duyệt
- Duyệt
- cuộc gọi
- gọi là
- Caller
- nắm bắt
- mà
- trường hợp
- Nguyên nhân
- Trung tâm
- nhất định
- chắc chắn
- chắc chắn
- mã
- coinbase
- Coinbase
- màu sắc
- Đến
- công ty
- Của công ty
- hoàn thành
- thỏa hiệp
- máy tính
- tự tin
- Nhược điểm
- Hãy xem xét
- liên lạc
- Liên hệ
- nội dung
- điều khiển
- điều khiển
- thuận tiện
- Doanh nghiệp
- có thể
- che
- Credentials
- Tội phạm
- cryptocurrency
- Trao đổi tiền điện tử
- khách hàng
- không gian mạng
- tội phạm mạng
- TỘI PHẠM MẠNG
- tội phạm mạng
- An ninh mạng
- bảng điều khiển
- dữ liệu
- Cơ sở dữ liệu
- Ngày
- xử lý
- quyết định
- Hậu vệ
- bộ
- mô tả
- chi tiết
- phát hiện
- Phát hiện
- phát triển
- ĐÃ LÀM
- trực tiếp
- Giao diện
- màn hình
- Không
- dont
- tải về
- Sớm hơn
- hay
- Công nhân
- mã hóa
- Kỹ Sư
- Kỹ sư
- đủ
- ủy thác
- đã trang bị
- Ngay cả
- mọi người
- tất cả mọi thứ
- chính xác
- ví dụ
- Sàn giao dịch
- điều hành
- hiện tại
- kinh nghiệm
- chuyên môn
- tiếp xúc
- mở rộng
- thất bại
- khá
- giả mạo
- vài
- lĩnh vực
- cuối cùng
- Tìm kiếm
- theo
- sau
- tiếp theo
- May mắn thay
- từ
- trước mặt
- quỹ
- tương lai
- đạt được
- nói chung
- được
- nhận được
- được
- cho
- Cho
- Go
- tốt
- tiện dụng
- phần cứng
- thu hoạch
- Nghe
- cao
- gợi ý
- lịch sử
- tổ chức
- di chuột
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- Nhân loại
- Săn bắn
- ngay
- quan trọng
- in
- Nghiêng
- bao gồm
- Bao gồm
- hệ thống riêng biệt,
- thông tin
- bắt đầu
- cài đặt, dựng lên
- thay vì
- thú vị
- can thiệp
- tham gia
- IT
- biệt ngữ
- nhảy
- Giữ
- Biết
- nổi tiếng
- máy tính xách tay
- mới nhất
- Cuộc sống
- Hạn chế
- LINK
- liên kết
- Danh sách
- ít
- dài
- Xem
- tìm kiếm
- sự mất
- phần mềm độc hại
- quản lý
- nhiều
- Lợi nhuận
- max-width
- MEA
- có nghĩa
- chỉ đơn thuần là
- tin nhắn
- tin nhắn
- Might
- Phút
- sửa đổi
- chi tiết
- hầu hết
- tên
- tên
- Thiên nhiên
- Cần
- cần
- mạng
- tiếp theo
- bình thường
- lưu ý
- thông báo
- số
- Rõ ràng
- cung cấp
- ONE
- Trực tuyến
- Nền tảng khác
- Khác
- Gia công phần mềm
- riêng
- một phần
- Mật khẩu
- Mật khẩu
- mô hình
- paul
- người
- có lẽ
- giai đoạn
- giả mạo
- Lừa đảo
- điện thoại
- Gọi điện
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- máy nghe nhạc
- Plugin
- bổ sung
- Podcast
- vị trí
- bài viết
- có lẽ
- thủ tục
- quá trình
- chương trình
- bảo vệ
- bảo vệ
- cung cấp
- cung cấp
- phạm vi
- Đọc
- Người đọc
- sẵn sàng
- thực
- đời thực
- gần đây
- giảm
- đề cập
- thường xuyên
- tương đối
- còn lại
- xa
- truy cập từ xa
- lặp lại
- trả lời
- báo cáo
- Báo cáo
- yêu cầu
- Trả lời
- phản ứng
- để lộ
- Richard
- Nguy cơ
- chạy
- an toàn
- Nói
- nói
- Lừa đảo
- Màn
- màn hình
- tìm kiếm
- Thứ hai
- trung học
- giây
- Bí mật
- an ninh
- dường như
- kết án
- dịch vụ
- ngắn
- nên
- đơn giản
- website
- Ngồi
- SMS
- So
- cho đến nay
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- bán
- rắn
- một số
- Một người nào đó
- phần nào
- nguồn
- Nhân sự
- giai đoạn
- Bắt đầu
- quy định
- Vẫn còn
- ăn cắp
- sức mạnh
- như vậy
- TÓM TẮT
- đáng ngờ
- SVG
- Các triệu chứng
- hệ thống
- Hãy
- nhóm
- đội
- kỹ thuật
- Thiết bị đầu cuối
- Cảm ơn
- Sản phẩm
- Coinbase
- cung cấp their dịch
- điều
- mối đe dọa
- các mối đe dọa
- Ném
- thời gian
- lời khuyên
- đến
- Tokens
- quá
- công cụ
- công cụ
- hàng đầu
- truyền thống
- quá trình chuyển đổi
- minh bạch
- điều trị
- kích hoạt
- XOAY
- Quay
- thường
- Cuối cùng
- Dưới
- cơ bản
- hiểu
- Bất ngờ
- URL
- us
- sử dụng
- người sử dang
- thường
- xác minh
- thông qua
- nạn nhân
- Xem
- VPN
- Đợi
- muốn
- xem
- nổi tiếng
- Điều gì
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- chiều rộng
- sẽ
- sẵn sàng
- ở trong
- không có
- từ ngữ
- từ
- Công việc
- công trinh
- lo lắng
- X
- XDR
- Bạn
- trên màn hình
- mình
- zephyrnet