Platform pertukaran cryptocurrency Coinbase telah mengungkapkan bahwa aktor ancaman yang tidak dikenal mencuri kredensial masuk salah satu karyawannya dalam upaya untuk mendapatkan akses jarak jauh ke sistem perusahaan.
Sebagai akibat dari intrusi, penyerang memperoleh beberapa informasi kontak milik beberapa karyawan Coinbase, kata perusahaan itu, menambahkan bahwa dana dan data pelanggan tetap tidak terpengaruh.
Kontrol dunia maya Coinbase mencegah penyerang mendapatkan akses sistem langsung dan mencegah hilangnya dana atau kompromi informasi pelanggan. Hanya sejumlah kecil data dari direktori perusahaan kami yang terungkap – Coinbase
Coinbase telah membagikan temuan penyelidikan mereka untuk membantu perusahaan lain mengidentifikasi taktik, teknik, dan prosedur (TTP) aktor ancaman dan menyiapkan pertahanan yang sesuai.
Detail serangan
Penyerang menargetkan beberapa insinyur Coinbase pada hari Minggu, 5 Februari dengan peringatan SMS mendesak mereka untuk masuk ke akun perusahaan mereka untuk membaca pesan penting.
Sementara sebagian besar karyawan mengabaikan pesan tersebut, salah satu dari mereka tertipu dan mengikuti tautan ke halaman phishing. Setelah memasukkan kredensial mereka, mereka berterima kasih dan diminta untuk mengabaikan pesan tersebut.
Pada fase berikutnya, penyerang mencoba masuk ke sistem internal Coinbase menggunakan kredensial yang dicuri tetapi gagal karena akses dilindungi dengan multi-factor authentication (MFA).
Kira-kira 20 menit kemudian, penyerang beralih ke strategi lain. Mereka memanggil karyawan yang mengaku dari tim IT Coinbase dan mengarahkan korban untuk masuk ke workstation mereka dan mengikuti beberapa instruksi.
“Untungnya tidak ada dana yang diambil dan tidak ada informasi pelanggan yang diakses atau dilihat, tetapi beberapa informasi kontak terbatas untuk karyawan kami diambil, khususnya nama karyawan, alamat email, dan beberapa nomor telepon” – Coinbase
CSIRT Coinbase mendeteksi aktivitas yang tidak biasa dalam waktu 10 menit sejak dimulainya serangan dan menghubungi korban untuk menanyakan tentang aktivitas terbaru yang tidak biasa dari akun mereka. Karyawan tersebut kemudian menyadari ada yang tidak beres dan memutuskan komunikasi dengan penyerang.
Membela
Coinbase telah membagikan beberapa TTP yang diamati yang dapat digunakan perusahaan lain untuk mengidentifikasi serangan serupa dan mempertahankannya:
- Setiap lalu lintas web dari aset teknologi perusahaan ke alamat tertentu, termasuk sso-.com, -sso.com, login.-sso.com, dashboard-.com, dan *-dashboard.com.
- Semua unduhan atau upaya mengunduh penampil desktop jarak jauh tertentu, termasuk AnyDesk (anydesk dot com) dan ISL Online (islonline[.]com)
- Upaya apa pun untuk mengakses organisasi dari penyedia VPN pihak ketiga, khususnya VPN Mullvad
- Panggilan telepon/pesan teks masuk dari penyedia tertentu, termasuk Google Voice, Skype, Vonage/Nexmo, dan Bandwidth
- Setiap upaya tak terduga untuk memasang ekstensi browser tertentu, termasuk Edit Cookie Ini
Karyawan perusahaan yang mengelola aset digital dan memiliki kehadiran online yang kuat pasti akan menjadi sasaran pelaku rekayasa sosial di beberapa titik.
Mengadopsi pertahanan berlapis dapat membuat serangan cukup menantang bagi sebagian besar pelaku ancaman untuk menyerah. Menerapkan perlindungan MFA dan penggunaan token keamanan fisik dapat membantu melindungi akun konsumen dan perusahaan.
