編譯:GaryMa 吳說區塊鏈
概述
Coinbase 最近經歷了一次網絡安全攻擊,攻擊針對其中一名員工。幸運的是,Coinbase 的網絡安全控制措施阻止了攻擊者直接訪問系統,並防止了任何資金損失或客戶信息泄露。僅有一部分來自我們的公司目錄的數據被泄露。Coinbase 堅信透明度,我們希望我們的員工、客戶和社區了解這次攻擊的細節,並分享此攻擊者使用的战術、技術和程序(TTP),以便每個人都可以更好地保護自己。
Coinbase 的客戶和員工經常成爲詐騙分子的目標。原因很簡單,任何形式的貨幣,包括加密貨幣,都是網絡犯罪分子追逐的目標。很容易理解爲什么這么多攻擊者不斷尋找快速獲利的途徑。
應對如此衆多的攻擊者和網絡安全挑战是我認爲 Coinbase 是一個有趣的工作場所的原因之一。在本文中,我們將討論一個實際的網絡攻擊和相關的網絡事件,這是我們最近在 Coinbase 處理的。雖然我非常高興地說,在這種情況下沒有客戶資金或客戶信息受到影響,但仍有寶貴的經驗教訓可以學習。在 Coinbase,我們相信透明度。通過公开談論這樣的安全問題,我相信我們可以使整個社區更加安全和更加安全意識。
我們的故事始於 2023 年 2 月 5 日星期日的晚些時候。幾部員工手機开始發出短信警報,表明他們需要通過提供的鏈接緊急登錄以接收重要信息。雖然大多數人忽略了這個未經提示的消息,但一名員工認爲這是一條重要的合法消息,點擊了鏈接並輸入了他們的用戶名和密碼。在“登錄”後,該員工被提示忽略該消息,並感謝其遵守。
接下來發生的事情是,攻擊者利用合法的 Coinbase 員工用戶名和密碼,多次試圖遠程訪問 Coinbase。幸運的是,我們的網絡安全控制系統做好了准備。攻擊者無法提供所需的多重身份認證(MFA)憑據,因此被阻止進入。在許多情況下,這就是故事的結束。但這不是一名普通的攻擊者。我們認爲這個人與一場高度持久和復雜的攻擊活動有關,自去年以來一直在針對許多公司。
大約 20 分鐘後,我們的員工的手機響了。攻擊者聲稱來自 Coinbase 公司的信息技術部,他們需要員工的幫助。由於相信自己在與一名合法的 Coinbase IT 工作人員交談,該員工登錄其工作站並开始按照攻擊者的指示操作。這开始了攻擊者和越來越懷疑的員工之間的一來一回。隨着談話的進行,請求變得越來越可疑。幸運的是,沒有取走任何資金,也沒有訪問或查看任何客戶信息,但一些我們員工的有限聯系信息被獲取,包括員工姓名、電子郵件地址和一些電話號碼。
幸運的是,我們的計算機安全事件響應團隊(CSIRT)在攻擊發生的頭 10 分鐘內就掌握了此問題。我們的安全事件和管理系統提示我們存在異常活動。此後不久,我們的事件響應者通過內部 Coinbase 消息系統聯系受害者,詢問與其账戶相關的一些異常行爲和使用模式。員工意識到有嚴重的問題後,立刻終止了與攻擊者的所有通信。
我們的 CSIRT 團隊立即暫停了受害員工的所有訪問權限,並展开了全面調查。由於我們的分層控制環境,沒有資金損失,也沒有泄露客戶信息。清理工作相對迅速,但仍然有很多經驗教訓需要學習。
任何人都可能會受到社交工程攻擊
人類是社交動物。我們希望相處融洽,希望成爲團隊的一份子。如果你認爲你不可能被一個精心策劃的社交工程攻擊欺騙,那你就在欺騙自己。在合適的情況下,幾乎任何人都可能成爲受害者。
最難抵御的攻擊是直接接觸的社交工程攻擊,就像我們的員工在這裏遭受的攻擊一樣。攻擊者直接通過社交媒體、你的手機,甚至更糟的是,走進你的家或商業場所與你聯系。這些攻擊並不新鮮。事實上,自人類的早期,這種攻擊就一直在發生。這是攻擊者的一種最喜歡的策略,因爲它行之有效。
那么我們該怎么辦呢?如何防止這種情況發生?
我想說這只是一個培訓問題。客戶、員工和每個人都需要接受更好的培訓,他們需要做得更好。這種說法總是有一定的道理。但作爲網絡安全專業人士,這不能成爲我們每次遇到這種情況時的借口。研究一次又一次地表明,所有人最終都可能被欺騙,無論他們多么警覺、熟練和准備。我們必須始終從壞事會發生的前提出發。我們需要不斷創新,以削弱這些攻擊的效果,同時努力提高我們的客戶和員工的整體體驗。
你能分享一些战術、技術和程序(TTP)嗎?
當然可以。考慮到這個攻擊者正在針對廣泛的公司,我們希望每個人都知道我們所知道的內容。以下是我們建議你在企業日志/安全信息與事件管理系統(SIEM)中查找的一些特定事項:
從你的技術資產到以下地址的任何網頁流量,其中 * 表示你的公司或組織名稱:
● sso-*.com
● *-sso.com
● login.*-sso.com
● dashboard-*.com
● *-dashboard.com
以下遠程桌面查看器的任何下載或嘗試下載:
● AnyDesk (anydesk dot com)
● ISL Online (islonline dot com)
任何通過第三方 VPN 服務提供商(特別是Mullvad VPN)嘗試訪問您的組織的行爲。
以下服務提供商的來電/短信:
● Google Voice
● Skype
● Vonage / Nexmo
● Bandwidth dot com
任何嘗試安裝以下瀏覽器擴展程序的意外行爲:
● EditThisCookie
作爲網絡防御者,您應該預期看到使用盜竊的憑據、Cookie 或其他會話令牌從 VPN 服務(例如Mullvad)嘗試登錄企業應用程序的行爲。還可能嘗試列舉面向客戶支持的應用程序,例如客戶關系管理(CRM)應用程序或員工目錄應用程序。您還可能看到嘗試將基於文本的數據復制到免費的文本或文件共享服務(例如riseup.net)的行爲。
這樣的情況談論起來從未輕松。對於員工來說,這是令人尷尬的;對於網絡安全專業人士和管理層來說,這是令人沮喪的。對於所有人來說,這都是令人沮喪的。但作爲一個社區,我們需要更加公开地討論這樣的問題。如果你是 Coinbase 的客戶,一定要對任何要求你提供個人信息的人持懷疑態度。永遠不要共享你的憑據,永遠不要允許任何人遠程訪問你的個人設備,並啓用可用的最強身份驗證方式。對於你的 Coinbase 账戶,考慮使用物理安全令牌來訪問你的账戶。如果你不經常交易,請考慮使用我們的 Coinbase Vault 解決方案爲你的資產提供額外的保護層。
如果你是 Coinbase 或任何其他擁有在线存在的公司的員工,你將會受到攻擊。保持警惕,特別是當有人打電話或聯系你時。一個簡單的最佳實踐是掛斷電話,使用可信的電話號碼或公司聊天技術尋求幫助。永遠不要與或向首次聯系你的人提供信息或登錄信息。
如果你是一名網絡安全專業人士,我們知道壞人總是會做壞事。但我們也應該記住好人也會犯錯,我們最好的安全控制有時可能會失效。最重要的是,我們應該始終愿意學習和努力變得更好。我們都是人類。這是一個(希望)永遠不會改變的恆定因素。
保持安全!
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。