Bilinmeyen bir tehdit aktörü, bir kimlik avı saldırısı kullanarak dünyanın en popüler kripto para birimi değişim platformlarından birine ait dahili sistemleri ele geçirmeye çalışmak için büyük çaba sarf etti.
Saldırganlar nihayetinde sisteme sızmayı başarırken, herhangi bir ciddi zarara yol açmalarına izin verilmeden önce devre dışı bırakıldılar. Coinbase’e göre, müşteri fonlarının yanı sıra müşteri verileri de güvenli ve sağlam.
Bilgisayar korsanı başlangıçta Coinbase çalışanlarına beş kimlik avı SMS mesajı göndererek onlardan acilen şirket hesaplarına giriş yapmalarını ve önemli bir mesajı okumalarını istedi. Mesajlar, kimliğine bürünen bir bağlantı içeriyordu. (yeni sekmede açılır) Coinbase kurumsal giriş sayfası, ancak aslında hassas verileri çalmak için tasarlanmış kötü niyetli bir açılış sayfasından başka bir şey değildi.
MFA tarafından korunmaktadır
Çoğu çalışan dolandırıcılığı doğru anlamış olsa da, biri anlamadı ve böylece bilgisayar korsanlarına oturum açma kimlik bilgilerini verdi. Oturum açtıktan sonra kurbana teşekkür edildi ve mesajı dikkate almaması istendi. Saldırganlar oturum açma kimlik bilgilerini ele geçirmeyi başarsa da, hesap çok faktörlü kimlik doğrulama (MFA) ile korunduğu için fazla bir şey yapamadı.
Yine de bu onları durdurmadı. Kısa süre sonra kurbanı telefonla arayarak şirketin BT departmanını taklit ettiler ve onlardan iş istasyonuna giriş yapmalarını ve farklı talimatları izlemelerini istediler.
Coinbase, “Neyse ki hiçbir fon alınmadı ve hiçbir müşteri bilgisine erişilmedi veya görüntülenemedi, ancak çalışanlarımızın bazı sınırlı iletişim bilgileri, özellikle çalışan adları, e-posta adresleri ve bazı telefon numaraları alındı.”
Coinbase’in CSIRT’sinin şirketin saldırıya uğradığını anlaması ve kurbana olağandışı etkinlik hakkında ulaşması yaklaşık on dakika sürdü.
Bu noktada mağdur, dolandırıldığını anlamış ve saldırganla iletişimi kesmiştir.
Geçen yılki Scatter Swine/0ktapus kimlik avı kampanyalarında görülen benzer bir işleyiş tarzını izleyen kampanyanın arkasında kimin olduğunu kimse kesin olarak bilemez.
O zamanlar Group-IB’den siber güvenlik uzmanları, saldırganların kimlik avı amaçlı SMS mesajları göndererek yaklaşık 1.000 kurumsal erişim oturum açma bilgilerini çalmayı başardıklarını söyledi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)