Populær cryptocurrency exchange Coinbase er det seneste velkendte online mærkenavn indrømmede at blive brudt.
Virksomheden besluttede at gøre sin overtrædelsesrapport til en interessant blanding af delvis mea culpa og praktiske råd til andre.
Som i det seneste tilfælde af Reddit, kunne virksomheden ikke modstå at smide S-ordet (sofistikeret), som igen ser ud til at følge definitionen, som Naked Secuity-læseren Richard Pennington tilbyder i en nylig kommentar, hvor han bemærkede det 'Sofistikeret' oversættes normalt som 'bedre end vores forsvar'.
Vi er tilbøjelige til at være enige i, at i mange, hvis ikke de fleste, overtrædelsesrapporter, hvor trusler og angribere beskrives som sofistikeret or fremskreden, disse ord bruges faktisk relativt (dvs. for gode til os) snarere end absolut (f.eks. for gode til alle).
Coinbase udtalte selvsikkert i resuméet i starten af sin artikel:
Heldigvis forhindrede Coinbase's cyberkontrol angriberen i at få direkte systemadgang og forhindrede ethvert tab af midler eller kompromittering af kundeoplysninger.
Men denne tilsyneladende vished blev undermineret af indrømmelsen i den næste sætning, at:
Kun en begrænset mængde data fra vores virksomhedsregister blev afsløret.
Desværre er en af de foretrukne TTP'er (værktøjer, teknikker og procedurer), der bruges af cyberkriminelle, kendt i jargonen som lateral bevægelse, som refererer til tricket med at parlaye information og adgang erhvervet i én del af et brud til stadig bredere systemadgang.
Med andre ord, hvis en cyberkriminel kan misbruge computer X, der tilhører bruger Y, til at hente fortrolige virksomhedsdata fra databasen Z (i dette tilfælde heldigvis begrænset til medarbejdernavne, e-mail-adresser og telefonnumre)...
…så at sige, at angriberen ikke "får direkte systemadgang" lyder som en ret akademisk skelnen, selvom systemadministratorerne blandt os sandsynligvis forstår disse ord for at antyde, at de kriminelle ikke endte med en terminalprompt, hvorpå de kunne køre enhver systemkommando, de ønskede.
Tips til trusselsforsvarere
Ikke desto mindre listede Coinbase nogle af de cyberkriminelle værktøjer, teknikker og procedurer, som det oplevede i dette angreb, og listen giver nogle nyttige tips til trusselsforsvarere og XDR-hold.
XDR er lidt af et buzzword i disse dage (det er en forkortelse for udvidet detektion og respons), men vi tror, at den enkleste måde at beskrive det på er:
Udvidet detektion og respons betyder, at du regelmæssigt og aktivt leder efter hints om, at nogen ikke har det godt i dit netværk, i stedet for at vente på, at traditionelle cybersikkerhedsdetektioner i dit trusselsrespons-dashboard udløser et svar.
XDR betyder naturligvis ikke, at du skal deaktivere dine eksisterende cybersikkerhedsalarmerings- og blokeringsværktøjer, men det betyder, at du udvider rækkevidden og arten af din trusselsjagt, så du ikke kun søger efter cyberkriminelle, når du er ret sikker på, at de har allerede ankommet, men holder også øje med dem, mens de stadig gør sig klar til at forsøge et angreb.
Coinbase-angrebet, rekonstrueret fra virksomhedens noget staccato konto, ser ud til at have involveret følgende faser:
- ANTAL 1: Et SMS-baseret phishing-forsøg.
Personalet blev via SMS opfordret til at logge ind for at læse en vigtig virksomhedsmeddelelse.
For nemheds skyld indeholdt meddelelsen et login-link, men det link gik til et falsk websted, der fangede brugernavne og adgangskoder.
Tilsyneladende vidste angriberne ikke, eller tænkte ikke på, for at få fat i 2FA (to-faktor autentificeringskode), som de skulle følge med brugernavnet og adgangskoden, så denne del af angrebet blev til ingenting .
Vi ved ikke, hvordan 2FA beskyttede kontoen. Måske bruger Coinbase hardware-tokens, såsom Yubikeys, der ikke virker ved blot at give en sekscifret kode, som du transskriberer fra din telefon til din browser eller login-app? Måske undlod skurkerne overhovedet at bede om koden? Måske opdagede medarbejderen phishen efter at have givet deres adgangskode væk, men før han afslørede den sidste engangshemmelighed, der var nødvendig for at fuldføre processen? Ud fra ordlyden i Coinbase-rapporten formoder vi, at skurkene enten glemte eller ikke kunne finde en troværdig måde at fange de nødvendige 2FA-data på deres falske login-skærme. Overvurder ikke styrken af app-baseret eller SMS-baseret 2FA. Enhver 2FA-proces, der udelukkende er afhængig af at indtaste en kode, der vises på din telefon i et felt på din bærbare computer, giver meget lidt beskyttelse mod angribere, der er klar og villige til at prøve dine phished-legitimationsoplysninger med det samme. Disse SMS- eller app-genererede koder er typisk kun begrænset af tid og forbliver gyldige i et sted mellem 30 sekunder og et par minutter, hvilket generelt giver angribere længe nok til at høste dem og bruge dem, før de udløber.
- TELLTALE 2: Et telefonopkald fra en, der sagde, at de var fra IT.
Husk, at dette angreb i sidste ende resulterede i, at de kriminelle fik en liste over medarbejders kontaktoplysninger, som vi antager vil ende med at blive solgt eller givet væk i cyberkriminalitetsundergrunden, så andre skurke kan misbruge dem i fremtidige angreb.
Selv hvis du har forsøgt at holde dine arbejdskontaktoplysninger fortrolige, kan de allerede være derude og almindeligt kendt alligevel, takket være et tidligere brud, du måske ikke har opdaget, eller et historisk angreb mod en sekundær kilde, såsom en outsourcing virksomhed, som du engang har betroet dine personaledata til.
- TELLTALE 3: En anmodning om at installere et fjernadgangsprogram.
I Coinbase-bruddet bad de sociale ingeniører, der ringede op i anden fase af angrebet, tilsyneladende offeret om at installere AnyDesk, efterfulgt af ISL Online.
Installer aldrig nogen software, endsige værktøjer til fjernadgang (som gør det muligt for en udenforstående at se din skærm og fjernstyre din mus og tastatur, som om de sad foran din computer) efter at have sagt det fra en, der lige har ringet til dig, også selvom du tror de er fra din egen it-afdeling.
Hvis du ikke ringede til dem, vil du næsten helt sikkert aldrig være sikker på, hvem de er.
- TELLTALE 4: En anmodning om at installere et browser-plugin.
I Coinbase-sagen hed værktøjet, som skurkene ønskede, at ofret skulle bruge, EditThisCookie (en ultra-simpel måde at hente hemmeligheder såsom adgangstokens fra en brugers browser), men du bør nægte at installere et browser-plugin, hvis du siger- altså af en du ikke kender og aldrig har mødt.
Browser-plugins får næsten uhindret adgang til alt, hvad du indtaster i din browser, inklusive adgangskoder, før de bliver krypteret, og til alt, hvad din browser viser, efter at den er blevet dekrypteret.
Plugins kan ikke kun spionere på din browsing, men også usynligt ændre det, du indtaster, før det sendes, og det indhold, du får tilbage, før det vises på skærmen.
Hvad skal jeg gøre?
For at gentage og udvikle de råd, vi har givet indtil videre:
- Log aldrig ind ved at klikke på links i beskeder. Du bør selv vide, hvor du skal gå hen, uden at have brug for "hjælp" fra en besked, der kunne være kommet fra hvor som helst.
- Modtag aldrig IT-råd fra folk, der ringer til dig. Du bør selv vide, hvor du skal ringe, for at mindske risikoen for at blive kontaktet af en svindler, der ved præcis det rigtige tidspunkt at springe ind og ser ud til at "hjælpe" dig.
- Installer aldrig software efter en it-medarbejder, du ikke har bekræftet. Installer ikke engang software, som du selv anser for sikker, for den, der ringer op, vil sandsynligvis dirigere dig til en download, hvor der allerede er tilføjet malware.
- Besvar aldrig en besked eller ring ved at spørge, om den er ægte. Afsenderen eller den, der ringer op, vil blot fortælle dig, hvad du vil høre. Rapportér mistænkelige kontakter til dit eget sikkerhedsteam så hurtigt som muligt.
I dette tilfælde siger Coinbase, at dets eget sikkerhedsteam var i stand til at bruge XDR-teknikker, opdage usædvanlige aktivitetsmønstre (for eksempel forsøg på logon via en uventet VPN-tjeneste) og gribe ind inden for omkring 10 minutter.
Det betød, at den angrebne person ikke blot afbrød al kontakt med de kriminelle med det samme, inden der skete for meget skade, men vidste at være ekstra forsigtig i tilfælde af, at angriberne kom tilbage med endnu flere lister, ulemper og såkaldte aktiv modstander svindel.
Sørg for, at du også er en menneskelig del af din virksomheds XDR-"sensornetværk" sammen med evt teknologiske værktøjer dit sikkerhedsteam har på plads.
Hvis du giver dine aktive forsvarere mere at gå på, at bare "VPN-kildeadressen dukkede op i adgangslogs", betyder det, at de vil være meget bedre rustet til at opdage og reagere på et aktivt angreb.
LÆR MERE OM AKTIVE FJENDERE
I det virkelige liv, hvad virker egentlig for cyberskurkene, når de indleder et angreb? Hvordan finder og behandler du den underliggende årsag til et anfald, i stedet for blot at håndtere de åbenlyse symptomer?
LÆS MERE OM XDR OG MDR
Mangler du tid eller ekspertise til at tage sig af cybersikkerhedstrusler? Bekymret for, at cybersikkerhed vil ende med at distrahere dig fra alle de andre ting, du skal gøre?
Tag et kig på Sophos Managed Detection and Response:
24/7 trusselsjagt, detektion og reaktion ▶
LÆR MERE OM SOCIAL ENGINEERING
Kom med til en fascinerende interview med Rachel Tobac, DEFCON Social Engineering Capture the Flag champ, om hvordan man opdager og afviser svindlere, sociale ingeniører og andre snuskede cyberkriminelle.
Viser du ingen podcast-afspiller nedenfor? Hør efter direkte på Soundcloud.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- I stand
- Om
- absolutte
- absolut
- misbrug
- akademisk
- adgang
- Konto
- erhvervede
- erhverve
- aktiv
- aktivt
- aktivitet
- tilføjet
- adresse
- adresser
- rådgivning
- Efter
- mod
- mod angribere
- Alle
- alene
- allerede
- blandt
- beløb
- ,
- overalt
- app
- tilsyneladende
- vises
- artikel
- angribe
- Angreb
- forsøgt
- Godkendelse
- forfatter
- auto
- tilbage
- background-billede
- fordi
- før
- være
- jf. nedenstående
- Bedre
- mellem
- Bit
- blokering
- grænse
- Bund
- brand
- brud
- Broke
- browser
- Browsing
- ringe
- kaldet
- Caller
- fange
- hvilken
- tilfælde
- Årsag
- center
- vis
- sikkert
- sikkerhed
- kode
- Koder
- coinbase
- Coinbase s
- farve
- Kom
- selskab
- Selskabs
- fuldføre
- kompromis
- computer
- trygt
- ULEMPER
- Overvej
- kontakt
- kontakter
- indhold
- kontrol
- kontrol
- bekvemmelighed
- Corporate
- kunne
- dæksel
- Legitimationsoplysninger
- Kriminelle
- Crooks
- cryptocurrency
- Cryptocurrency Exchange
- kunde
- Cyber
- cyberkriminalitet
- CYBERKRIMINAL
- cyberkriminelle
- Cybersecurity
- instrumentbræt
- data
- Database
- Dage
- beskæftiger
- besluttede
- Defenders
- Afdeling
- beskrevet
- detaljer
- opdaget
- Detektion
- udvikle
- DID
- direkte
- Skærm
- displays
- Er ikke
- Dont
- downloade
- tidligere
- enten
- Medarbejder
- krypteret
- Engineering
- Ingeniører
- nok
- betroet
- udstyret
- Endog
- alle
- at alt
- præcist nok
- eksempel
- udveksling
- udøvende
- eksisterende
- erfarne
- ekspertise
- udsat
- strækker
- mislykkedes
- retfærdigt
- falsk
- langt
- få
- felt
- endelige
- Finde
- følger
- efterfulgt
- efter
- Heldigvis
- fra
- forsiden
- fonde
- fremtiden
- vinder
- generelt
- få
- få
- given
- giver
- Give
- Go
- godt
- praktisk
- Hardware
- høst
- høre
- højde
- hints
- historisk
- hold
- hover
- Hvordan
- How To
- HTTPS
- menneskelig
- Jagt
- straks
- vigtigt
- in
- skrå
- medtaget
- Herunder
- individuel
- oplysninger
- indlede
- installere
- i stedet
- interessant
- intervenere
- involverede
- IT
- jargon
- hoppe
- Holde
- Kend
- kendt
- laptop
- seneste
- Livet
- Limited
- LINK
- links
- Liste
- lidt
- Lang
- Se
- leder
- off
- malware
- lykkedes
- mange
- Margin
- max-bredde
- MEA
- midler
- blot
- besked
- beskeder
- måske
- minutter
- ændre
- mere
- mest
- navn
- navne
- Natur
- Behov
- behov
- behøve
- netværk
- næste
- normal
- bemærkede
- underretning
- numre
- Obvious
- tilbydes
- ONE
- online
- Andet
- Andre
- outsourcing
- egen
- del
- Adgangskode
- Nulstilling/ændring af adgangskoder
- mønstre
- paul
- Mennesker
- måske
- fase
- Phish
- Phishing
- telefon
- Telefon opkald
- Place
- plato
- Platon Data Intelligence
- PlatoData
- spiller
- plugin
- Plugins
- podcast
- position
- Indlæg
- sandsynligvis
- procedurer
- behandle
- Program
- beskyttet
- beskyttelse
- giver
- leverer
- rækkevidde
- Læs
- Læser
- klar
- ægte
- I virkeligheden
- nylige
- reducere
- refererer
- regelmæssigt
- relativt
- resterende
- fjern
- Remote Access
- gentag
- svar
- indberette
- Rapporter
- anmode
- Svar
- svar
- afslørende
- Richard
- Risiko
- Kør
- sikker
- Said
- siger
- Snydere
- Skærm
- skærme
- søgning
- Anden
- sekundær
- sekunder
- Secret
- sikkerhed
- synes
- dømme
- tjeneste
- Kort
- bør
- ganske enkelt
- websted
- Siddende
- SMS
- So
- indtil nu
- Social
- Samfundsteknologi
- Software
- solgt
- solid
- nogle
- Nogen
- noget
- Snart
- Kilde
- Personale
- etaper
- starte
- erklærede
- Stadig
- stjålet
- styrke
- sådan
- RESUMÉ
- mistænksom
- SVG
- Symptomer
- systemet
- Tag
- hold
- hold
- teknikker
- terminal
- Møntbasen
- deres
- ting
- Tænk
- trussel
- trusler
- Kaste
- tid
- tips
- til
- Tokens
- også
- værktøj
- værktøjer
- top
- traditionelle
- overgang
- gennemsigtig
- behandle
- udløse
- TUR
- Drejning
- typisk
- Ultimativt
- under
- underliggende
- forstå
- Uventet
- usædvanlig
- URL
- us
- brug
- Bruger
- sædvanligvis
- verificeres
- via
- Victim
- Specifikation
- VPN
- Venter
- ønskede
- ser
- Kendt
- Hvad
- som
- mens
- WHO
- vilje
- villig
- inden for
- uden
- formulering
- ord
- Arbejde
- virker
- bekymret
- X
- XDR
- Din
- dig selv
- zephyrnet