Cryptocurrency-børsen Coinbase rapporterer om et nyligt cyberangreb, hvor nogle af deres ansatte var målet. Ifølge en rapport fra virksomhedens ingeniørteam er ingen kundemidler eller -information blevet påvirket, og det menes, at angrebet var en del af en sofistikeret phishing-kampagne.
Den 5. februar blev Coinbase-ansatte mål for en cyberangreb, der involverede SMS-svindel og efterligning af IT-personale, ifølge rapporten fra virksomhedens ingeniørteam. Ingen kunders midler eller information blev påvirket, sagde krypto-børsen.
Ifølge rapporten modtog flere Coinbase-ansatte sent om søndagen SMS-beskeder, der krævede, at de hurtigt logget ind via det angivne link for at få adgang til en vigtig besked. En medarbejder, der troede, at beskeden var vigtig og legitim, fulgte i god tro instruktionerne og loggede ind med deres brugernavn og adgangskode. Efter at have logget ind blev medarbejderen bedt om at ignorere beskeden og takket for at have fulgt instruktionerne.
Herefter forsøgte angriberen gentagne gange at få fjernadgang til Coinbases interne systemer ved hjælp af medarbejderens brugernavn og adgangskode, men lykkedes ikke med at passere MFA-sikkerhedsforanstaltningen (Multi-Factor Authentication).
Efter at have mislykkedes med at autentificere sig og blive blokeret automatisk, kontaktede angriberen medarbejderen via telefon.
Coinbase's Computer Security Incident Response Team (CSIRT) blev opmærksomme på en usædvanlig aktivitet i virksomhedens Security Incident and Event Management (SIEM)-system. En incident responder kontaktede offeret via virksomhedens interne beskedtjeneste som reaktion på den atypiske adfærd.
"Da medarbejderen indså, at der var noget alvorligt galt, afbrød de al kommunikation med angriberen," siger rapporten. Ifølge Coinbase beskyttede deres lagdelte kontrolmiljø kundemidler og -information, selvom nogle af deres personaleoplysninger var blevet kompromitteret.
Virksomheden mener, at angrebet er en del af en sofistikeret kampagne, der har målrettet mange virksomheder siden sidste år, især i USA. Cybersecurity-virksomheden Group-IB rapporterede i august om lignende phishing-angreb mod medarbejdere i Twilio og Cloudflare som en del af en massiv kampagne, der resulterede i 9.931 konti fra mere end 130 organisationer blev kompromitteret.
Coinbase understreger, at deres ingeniørteam har taget nødvendige skridt for at beskytte systemerne mod yderligere angreb og har øget bevidstheden blandt medarbejdere om, hvordan man kan identificere phishing-forsøg. De opfordrer også alle brugere til at have MFA-sikkerhedsforanstaltninger på plads og til altid at dobbelttjekke, at en besked eller e-mail er legitim, før man følger linket eller giver oplysninger.