美國最大加密貨幣交易所 Coinbase 在一篇官網公告中分享了自身受攻擊的案例,揭示了駭客對其發動攻擊的全過程。本文源自 Coinbase 撰寫的《Social Engineering —— A Coinbase Case Study》,由 PANews 編譯、整理及撰寫。
(前情提要: Coinbase國際交易所將開啟「永續合約交易」,搶攻加密衍生品市場)
(背景補充: Coinbase獲新加坡金管局「支付機構執照」COIN漲超5%,但方舟投資持續減持)
我們(Coinbase)最近經歷了一次網路安全攻擊,該攻擊針對其中一名員工。幸運的是,Coinbase 的網路安全控制措施阻止了攻擊者直接訪問系統,並防止了任何資金損失或客戶資訊洩露。
僅有一部分來自公司目錄的資料被洩露。Coinbase 堅信透明度,我們希望我們的員工、客戶和社群瞭解這次攻擊的細節,並分享此攻擊者使用的戰術、技術和程式(TTP),以便每個人都可以更好地保護自己。
Coinbase 的客戶和員工經常成為詐騙分子的目標。原因很簡單,任何形式的貨幣,包括加密貨幣,都是網路犯罪分子追逐的目標。本文我們將討論一個實際的網路攻擊和相關的網路事件,我非常高興地說,在這種情況下沒有客戶資金或客戶資訊受到影響,但仍有寶貴的經驗教訓可以學習。
我們的故事始於 2023 年 2 月 5 日星期日的晚些時候。幾部員工手機開始發出簡訊警報,表明他們需要通過提供的連結緊急登入以接收重要資訊。
雖然大多數人忽略了這個未經提示的訊息,但一名員工認為這是一條重要的訊息,點選了連結並輸入了他們的使用者名稱和密碼,在 「登入」 後,該員工被提示忽略該訊息,並感謝其遵守要求。
駭客如何發起攻擊?
接下來發生的事情是,攻擊者利用合法的 Coinbase 員工使用者名稱和密碼,多次試圖遠端訪問 Coinbase。
幸運的是,我們的網路安全控制系統做好了準備,攻擊者無法提供所需的多重身份認證(MFA)憑據,因此被阻止進入。在許多情況下,這就是故事的結束。但這不是一名普通的攻擊者,我們認為這個人與一場高度持久和複雜的攻擊活動有關,自去年以來一直在針對許多公司。
大約 20 分鐘後,我們的員工的手機響了。攻擊者聲稱來自 Coinbase 公司的資訊技術部,需要員工的幫助。由於該員工相信自己在與一名合法的 Coinbase IT 工作人員交談,該員工登入其工作站並開始按照攻擊者的指示操作。
這開始了攻擊者和越來越懷疑的員工之間的一來一回。隨著談話的進行,請求變得越來越可疑。幸運的是,沒有取走任何資金,也沒有訪問或檢視任何客戶資訊,但一些我們員工的有限聯絡資訊被獲取,包括員工姓名、電子郵件地址和一些電話號碼。
我們的電腦保安事件響應團隊(CSIRT)在攻擊發生的頭 10 分鐘內就掌握了此問題,我們的安全事件和管理系統提示我們存在異常活動。
此後不久,我們的事件處理者通過內部 Coinbase 訊息系統聯絡受害者,詢問與其帳戶相關的一些異常行為和使用模式,員工意識到有嚴重的問題後,立刻終止了與攻擊者的所有通訊。
我們的 CSIRT 團隊立即暫停了受害員工的所有訪問許可權,並展開了全面調查。由於我們的分層控制環境,沒有資金損失,也沒有洩露客戶資訊。清理工作相對迅速,但仍然有很多經驗教訓需要學習。
任何人都可能會受到社交工程攻擊
人類是社交動物。我們希望相處融洽,希望成為團隊的一份子。如果你認為你不可能被一個精心策劃的社交工程攻擊欺騙,那你就在欺騙自己。在合適的情況下,幾乎任何人都可能成為受害者。
最難抵禦的攻擊是直接接觸的社交工程攻擊,就像我們的員工在這裡遭受的攻擊一樣。攻擊者直接通過社交媒體、你的手機,甚至更糟的是,走進你的家或商業場所與你聯絡。
這些攻擊並不新鮮。事實上,自人類的早期,這種攻擊就一直在發生。這是攻擊者的一種最喜歡的策略,因為它行之有效。
那麼我們該怎麼辦呢?如何防止這種情況發生?
我想說這只是一個培訓問題。客戶、員工和每個人都需要接受更好的培訓,他們需要做得更好。
這種說法總是有一定的道理。但作為網路安全專業人士,這不能成為我們每次遇到這種情況時的藉口。研究一次又一次地表明,所有人最終都可能被欺騙,無論他們多麼警覺、熟練和準備。
我們必須始終從壞事會發生的前提出發。我們需要不斷創新,以削弱這些攻擊的效果,同時努力提高我們的客戶和員工的整體體驗。
你能分享一些戰術、技術和程式(TTP)嗎?
當然可以。考慮到這個攻擊者正在針對廣泛的公司,我們希望每個人都知道我們所知道的內容。以下是我們建議你在企業日誌 / 安全資訊與事件管理系統(SIEM)中查詢的一些特定事項:
從你的技術資產到以下地址的任何網頁流量,其中 * 表示你的公司或組織名稱:
●sso-*.com
●*-sso.com
●login.*-sso.com
●dashboard-*.com
●*-dashboard.com
以下遠端桌面檢視器的任何下載或嘗試下載:
●AnyDesk (anydesk dot com)
●ISL Online (islonline dot com)
任何通過第三方 VPN 服務提供商(特別是 Mullvad VPN)嘗試訪問您的組織的行為。
以下服務提供商的來電 / 簡訊:
●Google Voice
●Skype
●Vonage / Nexmo
●Bandwidth dot com
任何嘗試安裝以下瀏覽器擴充套件程式的意外行為:
●EditThisCookie
作為網路防禦者,您應該預期看到使用盜竊的憑據、Cookie 或其他會話代幣從 VPN 服務(例如 Mullvad)嘗試登入企業應用程式的行為。還可能嘗試列舉面向客戶支援的應用程式,例如客戶關係管理(CRM)應用程式或員工目錄應用程式。您還可能看到嘗試將基於文字的資料複製到免費的文字或檔案共享服務(例如 riseup.net)的行為。
這樣的情況談論起來從未輕鬆。對於員工來說,這是令人尷尬的;對於網路安全專業人士和管理層來說,這是令人沮喪的;對於所有人來說,這都是令人沮喪的。
但作為一個社群,我們需要更加公開地討論這樣的問題。如果你是 Coinbase 的客戶,一定要對任何要求你提供個人資訊的人持懷疑態度。永遠不要共享你的憑據,永遠不要允許任何人遠端訪問你的個人裝置,並啟用可用的最強身份驗證方式。對於你的 Coinbase 帳戶,考慮使用物理安全代幣來訪問你的帳戶。如果你不經常交易,請考慮使用我們的 Coinbase Vault 解決方案為你的資產提供額外的保護層。
如果你是 Coinbase 或任何其他擁有線上存在的公司的員工,你將會受到攻擊。保持警惕,特別是當有人打電話或聯絡你時。一個簡單的最佳實踐是結束通話電話,使用可信的電話號碼或公司聊天技術尋求幫助。永遠不要與或向首次聯絡你的人提供資訊或登入資訊。
如果你是一名網路安全專業人士,我們知道壞人總是會做壞事。但我們也應該記住好人也會犯錯,我們最好的安全控制有時可能會失效。最重要的是,我們應該始終願意學習和努力變得更好。我們都是人類。這是一個(希望)永遠不會改變的恆定因素。
保持安全!
📍相關報導📍
財富:Coinbase曾想拿下FTX Europe!鎖定歐洲唯一永續合約牌照
