0
0
A exchange de criptomoedas Coinbase evitou um ataque cibernético que pode ter sido montado pelos mesmos invasores que visaram Twillio, Cloudflare e muitas outras empresas no ano passado.
Aproveitando o smishing e o vishing, os invasores tentaram enganar os funcionários da Coinbase para que compartilhassem credenciais de login e instalassem aplicativos de desktop remoto, e obtiveram sucesso apenas parcial: a equipe de resposta a incidentes da empresa reagiu rapidamente aos alertas de “atividade incomum” e, no final, os invasores foram incapaz de acessar as informações do cliente ou roubar fundos.
Como o ciberataque da Coinbase se desenrolou
O ataque começou em um domingo, 5 de fevereiro de 2023, quando vários funcionários da Coinbase receberam uma mensagem de texto dizendo que precisavam fazer login com urgência nos sistemas da empresa por meio de um link fornecido, para que pudessem receber uma mensagem importante.
Apenas um dos funcionários visados caiu na armadilha e inseriu suas credenciais na página de phishing fornecida. De posse dessas informações, os invasores tentaram acessar os sistemas da empresa, mas por não terem o segundo fator de autenticação em mãos, não tiveram sucesso.
Então, eles tentaram outra tática: colocar o funcionário no telefone representando a equipe de TI da Coinbase, convencendo-o a fazer login em sua estação de trabalho e instalar um software que permitisse aos invasores acessar o sistema sem precisar de credenciais de acesso.
“Felizmente, nossa Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT) resolveu esse problema nos primeiros 10 minutos do ataque”, explicou Jeff Lunglhofer, CISO da Coinbase .
“Nosso CSIRT foi alertado sobre atividades incomuns por nosso sistema de gerenciamento de incidentes e eventos de segurança (SIEM). Pouco depois, um de nossos respondentes de incidentes entrou em contato com a vítima por meio de nosso sistema interno de mensagens da Coinbase, perguntando sobre alguns dos comportamentos incomuns e padrões de uso associados à conta. Percebendo que algo estava seriamente errado, o funcionário encerrou todas as comunicações com o invasor. Nossa equipe CSIRT suspendeu imediatamente todo o acesso do funcionário vitimado e iniciou uma investigação completa”.
No final, os invasores conseguiram colocar as mãos nos nomes, endereços de e-mail e números de telefone de alguns funcionários, que podem acabar usando para ataques de engenharia social posteriormente.
TTPs e conselhos de mitigação de risco
Lunglhofer não compartilhou qual segunda camada de autenticação os funcionários da Coinbase usam ou se os invasores tentaram fazer com que o funcionário compartilhasse seu fator de autenticação adicional – mas a configuração do MFA bloqueou essa via de ataque e os invasores foram forçados a mudar para vishing.
Não tenho dúvidas de que os funcionários afetados passarão por treinamento adicional para reforçar sua conscientização sobre as táticas usadas em ataques de engenharia social, mas, como ele observou, nas circunstâncias certas, quase qualquer pessoa pode ser vítima.
“A pesquisa mostra repetidamente que todas as pessoas podem ser enganadas eventualmente, não importa o quão alertas, habilidosos e preparados estejam”, acrescentou. É por isso que esse tipo de treinamento é apenas uma das muitas camadas de segurança que as empresas devem implementar.
A Coinbase compartilhou as táticas, técnicas e procedimentos (TTPs) empregados pelos invasores para que as equipes de segurança de outras organizações possam ficar atentas. Eles incluem:
- Tráfego da Web apontando para domínios que combinam o nome da empresa com as palavras sso , login ou dashbord , mas não pertencem à empresa
- Tentativa de download de aplicativos de área de trabalho remota como AnyDesk ou ISL Online ou instalação ou extensões de navegador que permitem a edição de cookies (por exemplo, EditThisCookie)
- Tentativa de acesso aos ativos da empresa de um provedor de VPN terceirizado
- Chamadas telefônicas ou mensagens de texto de serviços como Google Voice, Skype, Vonage (anteriormente Nexmo), etc.
“Como defensor de rede, você deve esperar ver tentativas de login em aplicativos corporativos de serviços VPN (por exemplo, Mullvad), usando credenciais roubadas, cookies ou outros tokens de sessão. Tenta enumerar aplicativos focados no suporte ao cliente, como aplicativos de gerenciamento de relacionamento com o cliente (CRM) ou aplicativos de diretório de funcionários. E você pode ver tentativas de copiar dados baseados em texto para texto livre ou serviços de compartilhamento de arquivos (por exemplo, riseup.net)”, acrescentou.
Ele também aconselhou os funcionários de toda e qualquer empresa com presença online a nunca compartilhar nenhuma informação com alguém que os procurou primeiro. “Uma prática recomendada simples é desligar o telefone e usar um número de telefone confiável ou a tecnologia de bate-papo da empresa para pedir ajuda.”
FONTE: HELPNET SECURITY