0
0
Atores de ameaças visaram funcionários da exchange de criptomoedas Coinbase em um ataque smishing que expôs uma “quantidade limitada” de dados pessoais de funcionários, depois que os ciberataques contornaram a autenticação multifator (MFA) para obter acesso direto ao seu sistema corporativo.
A Coinbase delineou o ataque – que a empresa acredita estar conectado à campanha Oktapus identificada anteriormente , que visava vários funcionários da Okta com mensagens SMS maliciosas – em uma postagem recente no blog , fornecendo um relato detalhado e passo a passo de como isso se desenrolou, aumentou e acabou sendo frustrado sem uma violação importante.
Um dos funcionários visados respondeu a um SMS do invasor e forneceu credenciais para o sistema corporativo; a pessoa então recebeu um telefonema de acompanhamento tentando obter acesso depois que as tentativas iniciais de login foram bloqueadas pela segurança MFA. A Equipe de Resposta a Incidentes de Segurança de Computadores da Coinbase (CSIRT) respondeu 10 minutos após o ataque para desligá-lo, evitando um incidente muito mais sério, disse a empresa.
A situação demonstra mais uma vez como o erro humano continua sendo um fator chave para o sucesso dos ataques cibernéticos e o risco que campanhas de engenharia social cada vez mais sofisticadas representam para a empresa, observou Jeff Lunglhofer, CISO da Coinbase, na postagem do blog.
Embora “situações como essa nunca sejam fáceis de falar”, a Coinbase revelou e detalhou o ataque no interesse da transparência, bem como para ajudar outras organizações a entender os riscos potenciais de smishing para se protegerem de incidentes semelhantes, disse ele.
“Eles são embaraçosos para o funcionário, frustrantes para os profissionais de segurança cibernética e frustrantes para a administração”, escreveu Lunglhofer. “Mas, como comunidade, precisamos ser mais abertos sobre questões como essa.”
O que aconteceu no ataque cibernético da Coinbase
A Coinbase é uma bolsa de criptomoedas com mais de 1.200 funcionários em todo o mundo e mais de 108 milhões de usuários verificados, tornando-a um alvo atraente para agentes de ameaças com motivação financeira, disse Lunglhofer.
O recente ataque ocorreu no domingo, 5 de fevereiro, quando os telefones celulares de vários funcionários da Coinbase receberam mensagens SMS indicando que eles precisavam “fazer login com urgência” em suas contas da Coinbase por meio de um link “para receber uma mensagem importante”, de acordo com o publicar.
Embora a maioria dos funcionários visados tenha ignorado a mensagem, um deles não o fez, clicando no link e, por fim, fornecendo aos invasores seu nome de usuário e senha. Os invasores então fizeram login no sistema Coinbase usando as credenciais legítimas dos funcionários, mas não puderam fornecer as credenciais MFA corretas e, portanto, tiveram o acesso bloqueado.
Embora muitos ataques parassem aqui, este não, provavelmente porque o invasor “está associado a uma campanha de ataque altamente persistente e sofisticada que tem como alvo dezenas de empresas desde o ano passado”, escreveu Lunglhofer. Essa onda de ataques do Okta, apelidada de Oktapus pelos pesquisadores do Grupo-IB que a descobriram, resultou no comprometimento de 9.931 mil contas de mais de 130 organizações.
Vinte minutos após a mensagem SMS inicial, o telefone do funcionário comprometido tocou. Na linha estava o invasor, alegando ser da TI corporativa da Coinbase e precisando da ajuda do funcionário. O funcionário mais uma vez acreditou que a solicitação era legítima e seguiu as instruções do invasor, efetuando login no sistema Coinbase e respondendo ao que se tornou cada vez mais solicitações suspeitas do invasor.
As ações do funcionário forneceram “algumas informações de contato limitadas” para os funcionários da Coinbase – incluindo nomes, endereços de e-mail e alguns números de telefone – mas não expuseram nenhuma informação do cliente ou outros dados confidenciais, nem os invasores obtiveram a capacidade de roubar criptomoedas da Coinbase, disse a empresa.
Eventualmente, o CSIRT da Coinbase interveio e procurou a vítima do smishing para perguntar sobre comportamento incomum e padrões de uso associados à sua conta, e o funcionário encerrou a comunicação com o invasor, escreveu ele. A CSIRT então suspendeu o acesso à conta do funcionário e iniciou uma investigação.
Por que os ataques “Smishing” são bem-sucedidos
Nesse caso, a limpeza após o ataque foi “relativamente rápida”, disse Lunglhofer. No entanto, o incidente fornece informações úteis sobre por que ataques de phishing sofisticados e de engenharia social ainda são tão bem-sucedidos, embora ocorram desde o surgimento da Internet convencional, e o fato de que há ampla conscientização sobre eles.
Um ponto importante a ser observado é que mesmo a pessoa mais experiente cibernética pode ser enganada por um ataque inteligente e de engenharia social devido à tendência natural dos humanos de querer “se dar bem” e “fazer parte da equipe”, observou Lunglhofer. “Sob as circunstâncias certas, quase qualquer pessoa pode ser uma vítima”, escreveu ele.
De fato, a pesquisa mostra que o fator humano continua sendo um dos principais motivos pelos quais as violações de dados ocorrem. Isso significa que usar a desculpa de que golpes de phishing bem-sucedidos são apenas um “problema de treinamento” dos funcionários é uma desculpa, e as organizações precisam implementar um sistema proativo de defesa cibernética que possa agir rapidamente no caso de comprometimento dos funcionários, escreveu Lunglhofer .
A Coinbase forneceu uma lista das táticas, técnicas e procedimentos (TTPs) dos invasores para ajudar as empresas a prevenir ataques ou reconhecer tentativas suspeitas de login no sistema corporativo. Em particular, as tentativas de login para aplicativos corporativos de serviços VPN de terceiros devem ser sinalizadas como suspeitas, pois podem estar usando credenciais roubadas, cookies ou outros tokens de sessão, observou Lunglhofer.
FONTE: DARK READING