Social Engineering – Coinbase esettanulmány
A Coinbase vállat munkatársait és a céget egy pszichológiai megtévesztési támadás érte. Szerencsére a Coinbase szabályozása megakadályozta, hogy a támadó közvetlenül hozzáférjen a rendszerhez, és megakadályozta a pénzeszközök elvesztését vagy az ügyfelek információinak veszélyeztetését. Vállalati címtárunkból csak korlátozott mennyiségű adat került nyilvánosságra.
Az eset során több munkavállaló SMS-üzeneteket kapott, ami szerint sürgősen be kell jelentkezni a küldött linken, hogy fontos üzenetet el tudjon olvasni. A dolgozók többsége figyelmen kívül hagyja ezt a kéretlen üzenetet, de egy alkalmazott, aki azt hitte, hogy ez egy fontos és valós üzenet, rákattint a hivatkozásra, és beírja felhasználónevét és jelszavát. A „bejelentkezést” követően a munkavállalót felszólítják, hogy hagyja figyelmen kívül az üzenetet, és megköszönték, hogy végrehajtott az utasításokat, amit az üzenetben kapott.
Ezután a támadó legitim Coinbase-alkalmazotti felhasználónévvel és jelszóval megpróbált távoli hozzáférést szerezni a Coinbase-hez. A támadó nem tudta megadni a szükséges többtényezős hitelesítési (MFA) hitelesítési adatokat – ezért nem férhetett hozzá a rendszerhez. Sok esetben ez lenne a történet vége. De ez nem akármilyen támadó volt. A Coinbase úgy véli, hogy a kifinomult támadási kampány a 0kapus-hoz kapcsolódik.
20 perccel később megszólalt a kihasznált alkalmazott mobiltelefonja. A támadó azt állította, hogy a Coinbase vállalati informatikai részlegéről keresi. Az alkalmazott abban a hitben, hogy a Coinbase informatikai munkatársával beszél, bejelentkezett és követni kezdte a támadó utasításait. A beszélgetés előrehaladtával a kérések egyre gyanúsabbak lettek.
A Coinbase Computer Security Incident Response Team (CSIRT) már a támadás első 10 percében észrevette a szokatlan tevékenységet a SIEM rendszer risztás alapján. Nem sokkal ezután az egyik incidensre válaszoló munkatárs a belső Coinbase üzenetküldő rendszerünkön keresztül megkereste az áldozatot, és érdeklődött a fiókjához kapcsolódó szokatlan viselkedési és használati minták felől. Az alkalmazott felismerve, hogy valami komoly baj van, megszakított minden kommunikációt a támadóval.
A CSIRT-csapat azonnal felfüggesztette az áldozattá vált alkalmazott hozzáférését, és teljes körű vizsgálatot indított.