Les employés de Coinbase ont été ciblés dans une attaque de cybersécurité le 5 février impliquant des escroqueries par SMS et des usurpations d'identité du personnel informatique, selon à un récent rapport de l'équipe d'ingénierie de l'entreprise. Aucun fonds ou information des clients n'a été affecté, a déclaré l'échange de crypto.
Selon le rapport, un dimanche soir, plusieurs employés de Coinbase ont reçu des SMS leur demandant de se connecter d'urgence via le lien fourni pour accéder à un message important. Agissant de bonne foi, un employé a suivi les instructions de l'exploiteur :
« Alors que la majorité ignore ce message spontané, un employé, croyant qu'il s'agit d'un message important et légitime, clique sur le lien et entre son nom d'utilisateur et son mot de passe. Après s'être « connecté », l'employé est invité à ignorer le message et remercié de s'être conformé.
L'agresseur a ensuite tenté à plusieurs reprises d'accéder à distance aux systèmes internes de Coinbase avec le nom d'utilisateur et le mot de passe de l'employé, mais n'a pas pu passer par la mesure de sécurité Multi-Factor Authentication (MFA).
Après avoir échoué à s'authentifier et avoir été automatiquement bloqué, l'exploiteur a contacté l'employé par téléphone. Selon le rapport, l'attaquant a prétendu être le service informatique de Coinbase et a demandé de l'aide à l'employé :
« Croyant parler à un membre légitime du personnel informatique de Coinbase, l'employé s'est connecté à son poste de travail et a commencé à suivre les instructions de l'attaquant. Cela a commencé un va-et-vient entre l'agresseur et un employé de plus en plus suspect. Au fur et à mesure que la conversation progressait, les demandes devenaient de plus en plus suspectes.
L'équipe de réponse aux incidents de sécurité informatique (CSIRT) de Coinbase a été alertée d'une activité inhabituelle par son système de gestion des incidents et des événements de sécurité (SIEM). Un intervenant en cas d'incident a contacté la victime via le système de messagerie interne de l'entreprise en réponse au comportement atypique.
"Réalisant que quelque chose n'allait vraiment pas, l'employé a mis fin à toutes les communications avec l'attaquant", indique le rapport. Selon Coinbase, son environnement de contrôle en couches protégeait les fonds et les informations des clients, même si certaines de ses informations personnelles avaient été compromises.
La société estime que l'attaque est associée à une campagne d'attaque sophistiquée qui a ciblé de nombreuses entreprises depuis l'année dernière, en particulier aux États-Unis. Entreprise de cybersécurité Group-IB rapporté en août, des attaques de phishing similaires contre des employés de Twilio et Cloudflare dans le cadre d'une campagne massive se terminant par la compromission de 9,931 130 comptes de plus de XNUMX organisations.
L'équipe de Coinbase a également noté que ses clients et employés sont des cibles fréquentes de fraudeurs, et la solution réside dans l'offre de formations appropriées :
"La recherche montre encore et encore que tout le monde peut éventuellement être trompé, peu importe à quel point il est alerte, qualifié et préparé. Nous devons toujours partir du principe que de mauvaises choses vont arriver. Nous devons constamment innover pour atténuer l'efficacité de ces attaques tout en nous efforçant d'améliorer l'expérience globale de nos clients et de nos employés.
Source : https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees