編譯| GaryMa 吳說區塊鏈
原文連結:
https://www.coinbase.com/blog/social-engineering-a-coinbase-case-study
概述
Coinbase 最近經歷了一次網路安全攻擊,攻擊針對其中一名員工。幸運的是,Coinbase 的網路安全控制措施阻止了攻擊者直接存取系統,並防止了任何資金損失或客戶資訊外洩。僅有一部分來自我們的公司目錄的資料外洩。 Coinbase 堅信透明度,我們希望我們的員工、客戶和社群了解這次攻擊的細節,並分享此攻擊者使用的戰術、技術和程序(TTP),以便每個人都可以更好地保護自己。
Coinbase 的客戶和員工經常成為詐騙分子的目標。原因很簡單,任何形式的貨幣,包括加密貨幣,都是網路犯罪者追逐的目標。很容易理解為什麼這麼多攻擊者不斷尋找快速獲利的途徑。
應對如此眾多的攻擊者和網路安全挑戰是我認為Coinbase 是一個有趣的工作場所的原因之一。在本文中,我們將討論一個實際的網路攻擊和相關的網路事件,這是我們最近在Coinbase 處理的。雖然我非常高興地說,在這種情況下沒有客戶資金或客戶資訊受到影響,但仍有寶貴的經驗教訓可以學習。在Coinbase,我們相信透明度。透過公開談論這樣的安全問題,我相信我們可以讓整個社區更加安全和更安全意識。
我們的故事始於2023 年2 月5 日星期日的晚些時候。幾部員工手機開始發出簡訊警報,表明他們需要透過提供的連結緊急登入以接收重要資訊。雖然大多數人忽略了這個未經提示的訊息,但一名員工認為這是一條重要的合法訊息,點擊了連結並輸入了他們的使用者名稱和密碼。在「登入」後,該員工被提示忽略該訊息,並感謝其遵守。
接下來發生的事情是,攻擊者利用合法的Coinbase 員工使用者名稱和密碼,多次試圖遠端存取Coinbase。幸運的是,我們的網路安全控制系統做好了準備。攻擊者無法提供所需的多重身分認證(MFA)憑證,因此被阻止進入。在許多情況下,這就是故事的結束。但這不是一名普通的攻擊者。我們認為這個人與一場高度持久和複雜的攻擊活動有關,自去年以來一直在針對許多公司。
大約20 分鐘後,我們的員工的手機響了。攻擊者聲稱來自Coinbase 公司的資訊技術部,他們需要員工的協助。由於相信自己在與一名合法的Coinbase IT 工作人員交談,該員工登入其工作站並開始按照攻擊者的指示操作。這開始了攻擊者和越來越懷疑的員工之間的來回。隨著談話的進行,請求變得越來越可疑。幸運的是,沒有取走任何資金,也沒有訪問或查看任何客戶信息,但一些我們員工的有限聯繫信息被獲取,包括員工姓名、電子郵件地址和一些電話號碼。
幸運的是,我們的電腦安全事件回應團隊(CSIRT)在攻擊發生的頭10 分鐘內就掌握了此問題。我們的安全事件和管理系統提示我們有異常活動。此後不久,我們的事件回應者透過內部Coinbase 訊息系統聯繫受害者,詢問與其帳戶相關的一些異常行為和使用模式。員工意識到有嚴重的問題後,立刻終止了與攻擊者的所有通信。
我們的CSIRT 團隊立即暫停了受害員工的所有存取權限,並展開了全面調查。由於我們的分層控制環境,沒有資金損失,也沒有洩漏客戶資訊。清理工作相對迅速,但仍有許多經驗教訓需要學習。
任何人都可能會受到社交工程攻擊
人類是社交動物。我們希望相處融洽,希望成為團隊的一份子。如果你認為你不可能被一個精心策劃的社交工程攻擊欺騙,那你就在欺騙自己。在合適的情況下,幾乎任何人都可能成為受害者。
最難抵禦的攻擊是直接接觸的社交工程攻擊,就像我們的員工在這裡遭受的攻擊一樣。攻擊者直接透過社群媒體、你的手機,甚至更糟的是,走進你的家或商業場所與你聯繫。這些攻擊並不新鮮。事實上,自人類的早期,這種攻擊就一直在發生。這是攻擊者的一種最喜歡的策略,因為它行之有效。
那我們該怎麼辦呢?如何防止這種情況發生?
我想說這只是一個訓練問題。客戶、員工和每個人都需要接受更好的培訓,他們需要做得更好。這種說法總是有一定的道理。但作為網路安全專業人士,這不能成為我們每次遇到這種情況時的藉口。研究一次又一次地表明,所有人最終都可能被欺騙,無論他們多麼警覺、熟練和準備。我們必須始終從壞事會發生的前提出發。我們需要不斷創新,以削弱這些攻擊的效果,同時努力提高我們的客戶和員工的整體體驗。
你能分享一些戰術、技術和程序(TTP)嗎?
當然可以。考慮到這個攻擊者正在針對廣泛的公司,我們希望每個人都知道我們所知道的內容。以下是我們建議你在企業日誌/安全資訊與事件管理系統(SIEM)中尋找的一些特定事項:
從你的技術資產到以下地址的任何網頁流量,其中* 表示你的公司或組織名稱:
●sso-*.com
●*-sso.com
●login.*-sso.com
●dashboard-*.com
●*-dashboard.com
以下任何遠端桌面檢視器的下載或嘗試下載:
●AnyDesk (anydesk dot com)
●ISL Online (islonline dot com)
任何透過第三方VPN 服務提供者(特別是Mullvad VPN)嘗試存取您的組織的行為。
以下服務提供者的來電/簡訊:
●Google Voice
●Skype
●Vonage / Nexmo
●Bandwidth dot com
任何嘗試安裝以下瀏覽器擴充功能的意外行為:
●EditThisCookie
作為網路防禦者,您應該預期看到使用盜竊的憑證、Cookie 或其他會話令牌從VPN 服務(例如Mullvad)嘗試登入企業應用程式的行為。也可能嘗試列舉面向客戶支援的應用程序,例如客戶關係管理(CRM)應用程式或員工目錄應用程式。您也可能看到嘗試將基於文字的資料複製到免費的文字或檔案共用服務(例如riseup.net)的行為。
這樣的情況談論起來從未輕鬆。對於員工來說,這是令人尷尬的;對於網路安全專業人士和管理層來說,這是令人沮喪的。對所有人來說,這都是令人沮喪的。但作為一個社區,我們需要更公開地討論這樣的問題。如果你是Coinbase 的客戶,一定要對任何要求你提供個人資訊的人持懷疑態度。永遠不要共享你的憑證,永遠不要允許任何人遠端存取你的個人設備,並啟用可用的最強身份驗證方式。對於你的Coinbase 帳戶,請考慮使用實體安全令牌來存取你的帳戶。如果你不經常交易,請考慮使用我們的Coinbase Vault 解決方案為你的資產提供額外的保護層。
如果你是Coinbase 或任何其他擁有線上存在的公司的員工,你將會受到攻擊。保持警惕,特別是當有人打電話或聯繫你時。一個簡單的最佳實踐是掛斷電話,使用可信任的電話號碼或公司聊天技術尋求協助。永遠不要與或向首次聯繫你的人提供資訊或登入資訊。
如果你是網路安全專業人士,我們知道壞人總是會做壞事。但我們也應該記住好人也會犯錯,我們最好的安全控制有時可能會失效。最重要的是,我們應該始終願意學習和努力變得更好。我們都是人類。這是一個(希望)永遠不會改變的恆定因素。
保持安全!