流行的加密货币交易所 Coinbase 是最新的知名在线品牌 承认 被破坏。
该公司决定将其违规报告变成一个有趣的混合体,其中包含了部分的过错和对其他人的方便建议。
正如最近的案例 Reddit,公司忍不住投入了 S 字(极致),这似乎又一次遵循了 Naked Secuity 读者 Richard Pennington 在 最近的评论, 他指出 “复杂”通常翻译为“比我们的防御更好”.
我们倾向于同意,在许多(如果不是大多数的话)违规报告中,威胁和攻击者被描述为 极致 or 高级,这些词确实是相对使用的(即对我们来说太好了)而不是绝对使用的(例如对每个人都太好了)。
Coinbase 在其文章开头的执行摘要中自信地表示:
幸运的是,Coinbase 的网络控制阻止了攻击者获得直接系统访问权限,并防止了任何资金损失或客户信息泄露。
但是,在下一句话中,承认破坏了这种明显的确定性:
我们公司目录中只有有限数量的数据被暴露。
不幸的是,网络犯罪分子最喜欢使用的 TTP(工具、技术和程序)之一在行话中被称为 横向运动,它指的是将在一个漏洞的一部分中获得的信息和访问权组合到更广泛的系统访问权中的技巧。
换句话说,如果网络罪犯可以滥用属于用户 Y 的计算机 X 从数据库 Z 中检索机密的公司数据(幸运的是,在这种情况下,仅限于员工姓名、电子邮件地址和电话号码)......
......然后说攻击者没有“获得直接系统访问权限”听起来像是一个相当学术的区别,即使我们中间的系统管理员可能理解这些话暗示犯罪分子最终没有得到他们可以的终端提示运行他们想要的任何系统命令。
给威胁防御者的提示
尽管如此,Coinbase 确实列出了它在这次攻击中遇到的一些网络犯罪工具、技术和程序,并且该列表为威胁防御者和 XDR 团队提供了一些有用的提示。
XDR 最近有点流行(它是 扩展的检测和响应),但我们认为最简单的描述方式是:
扩展检测和响应意味着定期主动寻找网络中有人不当行为的线索,而不是等待威胁响应仪表板中的传统网络安全检测触发响应。
显然,XDR 并不意味着关闭您现有的网络安全警报和阻止工具,而是意味着扩大威胁搜寻的范围和性质,这样您就不仅可以在相当确定网络犯罪分子已经已经到了,但也要在他们仍准备发动攻击时提防他们。
Coinbase 攻击,从该公司有点断断续续的重建 帐户,似乎涉及以下阶段:
- 案例 1:基于 SMS 的网络钓鱼尝试。
通过短信敦促员工登录以阅读重要的公司通知。
为方便起见,该消息包含一个登录链接,但该链接指向一个捕获用户名和密码的虚假网站。
显然,攻击者不知道或没想到要获得 2FA(双因素身份验证代码),他们需要连同用户名和密码一起使用,所以这部分攻击没有成功.
我们不知道 2FA 如何保护帐户。 也许 Coinbase 使用的硬件令牌,例如 Yubikeys,仅通过提供您从手机转录到浏览器或登录应用程序的六位数代码是无法工作的? 也许骗子根本没有索取密码? 也许员工在泄露密码后发现了网络钓鱼,但还没有透露完成该过程所需的最终一次性秘密? 从 Coinbase 报告中的措辞来看,我们怀疑骗子要么忘记了,要么找不到可信的方法来在他们的假登录屏幕中捕获所需的 2FA 数据。 不要高估基于应用程序或基于短信的 2FA 的强度。 任何仅依赖于将手机上显示的代码输入到笔记本电脑上的字段的 2FA 过程对准备好并愿意立即尝试您的网络钓鱼凭据的攻击者提供的保护很少。 这些 SMS 或应用程序生成的代码通常仅受时间限制,在 30 秒到几分钟之间的任何时间保持有效,这通常为攻击者提供足够长的时间来获取它们并在它们过期之前使用它们。
- 故事 2:有人打来电话,自称来自 IT。
请记住,这次攻击最终导致犯罪分子获得了员工联系方式的列表,我们假设这些信息最终会在地下网络犯罪中被出售或赠送,供其他骗子在未来的攻击中滥用。
即使您试图对您的工作联系方式保密,它们也可能已经公开并广为人知,这要归功于您可能没有检测到的早期违规行为,或者对次要来源的历史攻击,例如外包您曾经将员工数据委托给的公司。
- 故事 3:安装远程访问程序的请求。
在 Coinbase 漏洞中,在攻击的第二阶段打电话的社会工程师显然要求受害者安装 AnyDesk,然后安装 ISL Online。
切勿安装任何软件,更不用说远程访问工具(允许外人查看您的屏幕并远程控制您的鼠标和键盘,就像他们坐在您的计算机前一样)即使您认为他们来自您自己的 IT 部门。
如果您不打电话给他们,您几乎肯定永远无法确定他们是谁。
- 案例 4:安装浏览器插件的请求。
在 Coinbase 案例中,骗子希望受害者使用的工具称为 EditThisCookie(一种从用户浏览器检索访问令牌等秘密的超简单方法),但您应该拒绝安装任何浏览器插件 -所以你不认识也从未见过的人。
浏览器插件几乎可以不受限制地访问您在浏览器中输入的所有内容,包括密码,在它们被加密之前,以及浏览器显示的所有内容,在它被解密之后。
插件不仅可以监视您的浏览,还可以在传输之前无形地修改您输入的内容,以及在屏幕上显示之前返回的内容。
怎么办呢?
重复和发展我们目前给出的建议:
- 切勿通过单击消息中的链接来登录。 您应该知道自己要去哪里,而不需要来自任何地方的消息的“帮助”。
- 永远不要听取打电话给您的人的 IT 建议。 您应该知道在哪里打电话给自己,以减少被骗子联系的风险,骗子知道确切的正确时间跳入并似乎在“帮助”您。
- 切勿根据未经验证的 IT 人员的建议安装软件。 甚至不要安装您自己认为安全的软件,因为调用者可能会将您引导到一个已经添加了恶意软件的诱杀下载。
- 切勿通过询问消息是否真实来回复消息或电话。 发件人或来电者只会告诉您您想听到的内容。 尽快向您自己的安全团队报告可疑接触者。
在这种情况下,Coinbase 表示其自己的安全团队能够使用 XDR 技术,发现异常的活动模式(例如,尝试通过意外的 VPN 服务登录),并在大约 10 分钟内进行干预。
这意味着受到攻击的人不仅在造成太大伤害之前立即切断与罪犯的所有联系,而且知道要格外小心,以防攻击者卷土重来 积极的对手 诡计。
确保你也是公司 XDR“传感器网络”的一部分,以及任何 技术工具 您的安全团队已经到位。
让您的主动防御者更多地继续“访问日志中显示的 VPN 源地址”意味着他们将能够更好地检测和响应主动攻击。
了解更多关于主动对手的信息
在现实生活中,当网络骗子发起攻击时,什么真正有效? 您如何找到并治疗攻击的根本原因,而不是仅仅处理明显的症状?
了解有关 XDR 和 MDR 的更多信息
缺乏时间或专业知识来处理网络安全威胁响应? 担心网络安全最终会分散您对所有其他需要做的事情的注意力?
查看 Sophos Managed Detection and Response:
24/7 威胁追踪、检测和响应 ▶
了解有关社会工程学的更多信息
加入我们吧 精彩的采访 与 DEFCON 社会工程夺旗冠军 Rachel Tobac 一起,了解如何检测和拒绝诈骗者、社会工程师和其他卑鄙的网络犯罪分子。
下面没有显示播客播放器? 听 直接在 Soundcloud 上.
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Able
- 关于
- 绝对
- 绝对
- 滥用
- 学者
- ACCESS
- 账号管理
- 后天
- 收购
- 要积极。
- 积极地
- 活动
- 添加
- 地址
- 地址
- 忠告
- 后
- 驳
- 对抗攻击者
- 所有类型
- 单
- 已经
- 其中包括
- 量
- 和
- 分析数据
- 应用
- 明显的
- 出现
- 刊文
- 攻击
- 攻击
- 尝试
- 认证
- 作者
- 汽车
- 背部
- 背景图像
- 因为
- before
- 作为
- 如下。
- 更好
- 之间
- 位
- 闭塞
- 边界
- 半身裙/裤
- 品牌
- 违反
- 布罗克
- 浏览器
- 浏览
- 呼叫
- 被称为
- 呼叫者
- 捕获
- 关心
- 案件
- 原因
- Center
- 一定
- 当然
- 肯定
- 码
- coinbase
- Coinbase的
- 颜色
- 如何
- 公司
- 公司的
- 完成
- 妥协
- 一台
- 信心十足地
- 缺点
- 考虑
- CONTACT
- 联系
- 内容
- 控制
- 控制
- 方便
- 公司
- 可以
- 外壳
- 资历
- 罪犯
- cryptocurrency
- 加密货币兑换
- 顾客
- 网络
- 网络犯罪
- 网络犯罪
- 网络罪犯
- 网络安全
- XNUMX月XNUMX日
- data
- 数据库
- 一年中的
- 处理
- 决定
- 捍卫者
- 问题类型
- 描述
- 详情
- 检测
- 检测
- 开发
- DID
- 直接
- 屏 显:
- 显示器
- 不会
- 别
- 下载
- 此前
- 或
- 员工
- 加密
- 工程师
- 工程师
- 更多
- 受托
- 配备
- 甚至
- 每个人
- 一切
- 究竟
- 例子
- 交换
- 执行
- 现有
- 有经验
- 专门知识
- 裸露
- 延长
- 失败
- 相当
- 假
- 少数
- 部分
- 最后
- 找到最适合您的地方
- 遵循
- 其次
- 以下
- 幸好
- 止
- 前
- 资金
- 未来
- 获得
- 通常
- 得到
- 越来越
- 特定
- 给
- 给予
- Go
- 非常好
- 便利
- 硬件
- 收成
- 听
- 高度
- 提示
- 历史的
- 举行
- 徘徊
- 创新中心
- How To
- HTTPS
- 人
- 狩猎
- 立即
- 重要
- in
- 斜
- 包括
- 包含
- 个人
- 信息
- 开始
- 安装
- 代替
- 有趣
- 干预
- 参与
- IT
- 行话
- 跳
- 保持
- 知道
- 已知
- 笔记本电脑
- 最新
- 生活
- 有限
- 友情链接
- 链接
- 清单
- 小
- 长
- 看
- 寻找
- 离
- 恶意软件
- 管理
- 许多
- 余量
- 最大宽度
- MEA
- 手段
- 仅仅
- 的话
- 条未读消息
- 可能
- 分钟
- 修改
- 更多
- 最先进的
- 姓名
- 名称
- 自然
- 需求
- 需要
- 网络
- 下页
- 正常
- 注意到
- 通知
- 数字
- 明显
- 最多线路
- 一
- 在线
- 其他名称
- 其它
- 外包
- 己
- 部分
- 密码
- 密码
- 模式
- 保罗
- 员工
- 也许
- 相
- 网络钓鱼
- 钓鱼
- 电话
- 电话
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放机
- 插入
- 插件
- 播客
- 位置
- 帖子
- 大概
- 程序
- 过程
- 曲目
- 保护
- 保护
- 提供
- 优
- 范围
- 阅读
- 读者
- 准备
- 真实
- 现实生活
- 最近
- 减少
- 指
- 经常
- 相对
- 其余
- 远程
- 通过远程访问
- 重复
- 一个回复
- 报告
- 业务报告
- 请求
- 回应
- 响应
- 揭示
- 理查德
- 风险
- 运行
- 安全
- 说
- 说
- 骗子
- 屏风
- 屏幕
- 搜索
- 其次
- 次
- 秒
- 秘密
- 保安
- 似乎
- 句子
- 服务
- 短
- 应该
- 只是
- 网站
- 坐在
- 短信
- So
- 至今
- 社会
- 社会工程学
- 软件
- 出售
- 固体
- 一些
- 有人
- 有些
- 来源
- 团队
- 实习
- 开始
- 说
- 仍
- 被盗
- 实力
- 这样
- 概要
- 可疑
- SVG的
- 症状
- 系统
- 采取
- 团队
- 队
- 技术
- 终端
- 谢谢
- Coinbase
- 其
- 事
- 威胁
- 威胁
- 投掷
- 次
- 秘诀
- 至
- 令牌
- 也有
- 工具
- 工具
- 最佳
- 传统
- 过渡
- 透明
- 治疗
- 触发
- 转
- 谈到
- 一般
- 最终
- 下
- 相关
- 理解
- 意外
- 网址
- us
- 使用
- 用户
- 平时
- 专利
- 通过
- 受害者
- 查看
- VPN
- 等候
- 通缉
- 观看
- 知名
- 什么是
- 这
- 而
- WHO
- 宽度
- 将
- 愿意
- 中
- 也完全不需要
- 措辞
- 话
- 工作
- 合作
- 担心
- X
- XDR
- 完全
- 您一站式解决方案
- 你自己
- 和风网