Die beliebte Kryptowährungsbörse Coinbase ist der neueste bekannte Online-Markenname zugelassen verletzt zu werden.
Das Unternehmen beschloss, seinen Verstoßbericht in eine interessante Mischung aus teilweisem Mea Culpa und praktischen Ratschlägen für andere zu verwandeln.
Wie im jüngsten Fall von Reddit, das Unternehmen konnte nicht widerstehen, das S-Wort (anspruchsvoll), was wiederum der Definition von Naked Secuity-Leser Richard Pennington in a zu folgen scheint letzter Kommentar, wo er das vermerkte „Ausgereift“ bedeutet normalerweise „besser als unsere Verteidigung“.
Wir sind geneigt zuzustimmen, dass in vielen, wenn nicht den meisten Berichten über Sicherheitsverletzungen Bedrohungen und Angreifer als beschrieben werden anspruchsvoll or advanced, diese Wörter werden in der Tat eher relativ (dh zu gut für uns) als absolut (zB zu gut für alle) verwendet.
Coinbase erklärte selbstbewusst in der Zusammenfassung zu Beginn seines Artikels:
Glücklicherweise hinderten die Cyberkontrollen von Coinbase den Angreifer daran, direkten Systemzugriff zu erlangen, und verhinderten den Verlust von Geldern oder die Kompromittierung von Kundeninformationen.
Aber diese scheinbare Gewissheit wurde durch das Eingeständnis gleich im nächsten Satz untergraben:
Nur eine begrenzte Menge an Daten aus unserem Unternehmensverzeichnis wurde offengelegt.
Leider ist eines der beliebtesten TTPs (Werkzeuge, Techniken und Verfahren), das von Cyberkriminellen verwendet wird, im Fachjargon als seitliche Bewegung, was sich auf den Trick bezieht, Informationen und Zugriffe, die in einem Teil eines Durchbruchs erworben wurden, in immer breitere Systemzugriffe einzuteilen.
Mit anderen Worten, wenn ein Cyberkrimineller den Computer X des Benutzers Y missbrauchen kann, um vertrauliche Unternehmensdaten aus der Datenbank Z abzurufen (in diesem Fall glücklicherweise beschränkt auf Mitarbeiternamen, E-Mail-Adressen und Telefonnummern) …
… dann klingt die Aussage, der Angreifer habe sich „keinen direkten Systemzugriff verschafft“ nach einer ziemlich akademischen Unterscheidung, auch wenn die Sysadmins unter uns diese Worte wahrscheinlich so verstehen, dass die Kriminellen am Ende keine Terminal-Eingabeaufforderung hatten, an der sie es könnten jeden gewünschten Systembefehl ausführen.
Tipps für Bedrohungsverteidiger
Dennoch hat Coinbase einige der cyberkriminellen Tools, Techniken und Verfahren aufgelistet, die es bei diesem Angriff erlebt hat, und die Liste enthält einige nützliche Tipps für Bedrohungsverteidiger und XDR-Teams.
XDR ist heutzutage ein bisschen ein Schlagwort (es ist die Abkürzung für erweiterte Erkennung und Reaktion), aber wir denken, dass die einfachste Art, es zu beschreiben, so ist:
Erweiterte Erkennung und Reaktion bedeutet, dass Sie regelmäßig und aktiv nach Hinweisen suchen, dass jemand in Ihrem Netzwerk nichts Gutes im Schilde führt, anstatt darauf zu warten, dass herkömmliche Cybersicherheitserkennungen in Ihrem Bedrohungsreaktions-Dashboard eine Reaktion auslösen.
Natürlich bedeutet XDR nicht, dass Sie Ihre vorhandenen Tools zur Warnung und Blockierung der Cybersicherheit deaktivieren, aber es bedeutet, den Umfang und die Art Ihrer Bedrohungssuche zu erweitern, sodass Sie nicht nur nach Cyberkriminellen suchen, wenn Sie sich ziemlich sicher sind, dass sie es sind bereits eingetroffen sind, aber auch auf sie aufpassen, während sie sich noch auf einen Angriffsversuch vorbereiten.
Der Coinbase-Angriff, rekonstruiert aus dem etwas abgehackten Zustand des Unternehmens Konto, scheint die folgenden Phasen durchlaufen zu haben:
- TELLTALE 1: Ein SMS-basierter Phishing-Versuch.
Die Mitarbeiter wurden per SMS aufgefordert, sich anzumelden, um eine wichtige Unternehmensmitteilung zu lesen.
Der Einfachheit halber enthielt die Nachricht einen Login-Link, aber dieser Link führte zu einer gefälschten Website, die Benutzernamen und Passwörter erbeutete.
Anscheinend wussten die Angreifer nicht, oder dachten nicht, um an den 2FA (Zwei-Faktor-Authentifizierungscode) zu kommen, den sie zusammen mit dem Benutzernamen und dem Passwort benötigen würden, also verlief dieser Teil des Angriffs im Sande .
Wir wissen nicht, wie 2FA das Konto geschützt hat. Vielleicht verwendet Coinbase Hardware-Token wie Yubikeys, die nicht funktionieren, indem sie einfach einen sechsstelligen Code angeben, den Sie von Ihrem Telefon in Ihren Browser oder Ihre Anmelde-App übertragen? Vielleicht haben die Gauner überhaupt nicht nach dem Code gefragt? Vielleicht hat der Mitarbeiter den Phish entdeckt, nachdem er sein Passwort preisgegeben hatte, aber bevor er das letzte einmalige Geheimnis preisgab, das zum Abschluss des Vorgangs erforderlich war? Aus der Formulierung im Coinbase-Bericht gehen wir davon aus, dass die Gauner entweder vergessen haben oder keinen glaubwürdigen Weg finden konnten, die benötigten 2FA-Daten in ihren gefälschten Anmeldebildschirmen zu erfassen. Überschätzen Sie nicht die Stärke von App- oder SMS-basierter 2FA. Jeder 2FA-Prozess, der sich lediglich darauf stützt, einen auf Ihrem Telefon angezeigten Code in ein Feld auf Ihrem Laptop einzugeben, bietet nur sehr wenig Schutz vor Angreifern, die bereit und willens sind, Ihre Phishing-Anmeldeinformationen sofort auszuprobieren. Diese SMS- oder App-generierten Codes sind in der Regel nur zeitlich begrenzt und bleiben zwischen 30 Sekunden und einigen Minuten gültig, was Angreifern im Allgemeinen genug Zeit gibt, sie zu ernten und zu verwenden, bevor sie ablaufen.
- TELLTALE 2: Ein Anruf von jemandem, der sagte, er sei von der IT.
Denken Sie daran, dass dieser Angriff letztendlich dazu führte, dass die Kriminellen eine Liste mit Kontaktdaten von Mitarbeitern erwarben, von denen wir annehmen, dass sie am Ende verkauft oder im Untergrund der Cyberkriminalität verschenkt werden, damit andere Gauner sie bei zukünftigen Angriffen missbrauchen können.
Selbst wenn Sie versucht haben, Ihre Arbeitskontaktdaten vertraulich zu behandeln, sind sie möglicherweise bereits da draußen und weithin bekannt, dank einer früheren Verletzung, die Sie möglicherweise nicht entdeckt haben, oder aufgrund eines historischen Angriffs auf eine sekundäre Quelle, z. B. ein Outsourcing Unternehmen, dem Sie Ihre Personaldaten einst anvertraut haben.
- TELLTALE 3: Eine Aufforderung zur Installation eines Fernzugriffsprogramms.
Bei der Verletzung von Coinbase forderten die Social Engineers, die in der zweiten Phase des Angriffs angerufen hatten, das Opfer offenbar auf, AnyDesk zu installieren, gefolgt von ISL Online.
Installieren Sie niemals Software, geschweige denn Fernzugriffstools (die es einem Außenstehenden ermöglichen, Ihren Bildschirm zu sehen und Ihre Maus und Tastatur fernzusteuern, als ob sie vor Ihrem Computer sitzen würden) auf das Sagen von jemandem, der Sie gerade angerufen hat, auch wenn Sie denken, dass sie aus Ihrer eigenen IT-Abteilung stammen.
Wenn Sie sie nicht angerufen haben, werden Sie mit ziemlicher Sicherheit nie sicher sein, wer sie sind.
- TELLTALE 4: Eine Aufforderung zur Installation eines Browser-Plugins.
Im Coinbase-Fall hieß das Tool, das die Gauner verwenden sollten, EditThisCookie (eine ultra-einfache Methode, um Geheimnisse wie Zugriffstoken aus dem Browser eines Benutzers abzurufen), aber Sie sollten sich weigern, ein Browser-Plug-in zu installieren. also von jemandem, den Sie nicht kennen und noch nie getroffen haben.
Browser-Plug-ins erhalten fast uneingeschränkten Zugriff auf alles, was Sie in Ihren Browser eingeben, einschließlich Kennwörter, bevor sie verschlüsselt werden, und auf alles, was Ihr Browser anzeigt, nachdem es entschlüsselt wurde.
Plugins können nicht nur Ihr Surfen ausspionieren, sondern auch unsichtbar modifizieren, was Sie eingeben, bevor es übertragen wird, und den Inhalt, den Sie zurückerhalten, bevor er auf dem Bildschirm erscheint.
Was ist zu tun?
Um die Ratschläge, die wir bisher gegeben haben, zu wiederholen und weiterzuentwickeln:
- Melden Sie sich niemals an, indem Sie auf Links in Nachrichten klicken. Sie sollten selbst wissen, wohin Sie gehen müssen, ohne „Hilfe“ von einer Nachricht zu benötigen, die von überall her kommen könnte.
- Nehmen Sie niemals IT-Rat von Personen an, die Sie anrufen. Sie sollten wissen, wo Sie selbst anrufen müssen, um das Risiko zu verringern, von einem Betrüger kontaktiert zu werden, der genau den richtigen Zeitpunkt kennt, um einzuspringen und Ihnen scheinbar „hilft“.
- Installieren Sie niemals Software auf Anraten eines IT-Mitarbeiters, den Sie nicht verifiziert haben. Installieren Sie erst gar keine Software, die Sie selbst für sicher halten, denn der Anrufer leitet Sie wahrscheinlich zu einem mit Sprengfallen versehenen Download weiter, dem bereits Malware hinzugefügt wurde.
- Antworten Sie niemals auf eine Nachricht oder einen Anruf, indem Sie fragen, ob es echt ist. Der Absender oder Anrufer teilt Ihnen einfach mit, was Sie hören möchten. Melden Sie verdächtige Kontakte so schnell wie möglich Ihrem eigenen Sicherheitsteam.
In diesem Fall, so Coinbase, war sein eigenes Sicherheitsteam in der Lage, XDR-Techniken einzusetzen, ungewöhnliche Aktivitätsmuster (z. B. Anmeldeversuche über einen unerwarteten VPN-Dienst) zu erkennen und innerhalb von etwa 10 Minuten einzugreifen.
Das bedeutete, dass die angegriffene Person nicht nur sofort jeden Kontakt mit den Kriminellen abbrach, bevor zu viel Schaden angerichtet wurde, sondern auch besonders vorsichtig sein musste, falls die Angreifer mit noch mehr Tricks, Betrügereien und sogenannten aktiver Gegner Betrug.
Stellen Sie sicher, dass auch Sie ein menschlicher Teil des XDR-„Sensornetzwerks“ Ihres Unternehmens sind technologische Werkzeuge Ihr Sicherheitsteam vorhanden ist.
Wenn Sie Ihren aktiven Verteidigern mehr Handlungsspielraum geben, als nur „VPN-Quelladresse in Zugriffsprotokollen angezeigt wird“, bedeutet dies, dass sie viel besser gerüstet sind, um einen aktiven Angriff zu erkennen und darauf zu reagieren.
ERFAHREN SIE MEHR ÜBER AKTIVE GEGNER
Was funktioniert im wirklichen Leben wirklich für die Cyberkriminellen, wenn sie einen Angriff starten? Wie finden und behandeln Sie die zugrunde liegende Ursache eines Anfalls, anstatt sich nur mit den offensichtlichen Symptomen zu befassen?
ERFAHREN SIE MEHR ÜBER XDR UND MDR
Fehlt Ihnen die Zeit oder das Fachwissen, um sich um die Reaktion auf Cybersicherheitsbedrohungen zu kümmern? Befürchten Sie, dass die Cybersicherheit Sie am Ende von all den anderen Dingen ablenken wird, die Sie tun müssen?
Werfen Sie einen Blick auf Sophos Managed Detection and Response:
Bedrohungssuche, -erkennung und -reaktion rund um die Uhr ▶
ERFAHREN SIE MEHR ÜBER SOCIAL ENGINEERING
Begleiten Sie uns auf eine faszinierendes Interview mit Rachel Tobac, DEFCON Social Engineering Capture the Flag-Champion, darüber, wie man Betrüger, Social Engineers und andere schmierige Cyberkriminelle erkennt und zurückweist.
Kein Podcast-Player wird unten angezeigt? Hören direkt auf Soundcloud.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Fähig
- Über uns
- Absolute
- absolut
- Missbrauch
- akademisch
- Zugang
- Konto
- erworben
- Erwerb
- aktiv
- aktiv
- Aktivität
- hinzugefügt
- Adresse
- Adressen
- Beratung
- Nach der
- gegen
- gegen Angreifer
- Alle
- allein
- bereits
- unter
- Betrag
- und
- von jedem Standort
- App
- ersichtlich
- erscheinen
- Artikel
- Attacke
- Anschläge
- Versuche
- Authentifizierung
- Autor
- Auto
- Zurück
- background-image
- weil
- Bevor
- Sein
- unten
- Besser
- zwischen
- Bit
- Sperrung
- Grenze
- Boden
- Marke
- Verletzung
- Pleite
- Browser
- Browsing
- rufen Sie uns an!
- namens
- Anrufer
- Erfassung
- österreichische Unternehmen
- Häuser
- Verursachen
- Center
- sicher
- sicherlich
- Sicherheit
- Code
- Codes
- coinbase
- Coinbase
- Farbe
- wie die
- Unternehmen
- Unternehmen
- abschließen
- Kompromiss
- Computer
- zuversichtlich
- Nachteile
- Geht davon
- Kontakt
- Kontakte
- Inhalt
- Smartgeräte App
- Steuerung
- sehr beliebtes Sprach- und Freizeitprogramm
- Unternehmen
- könnte
- Abdeckung
- Referenzen
- Criminals
- Crooks
- kryptowährung
- Kryptowährungskurs
- Kunde
- Cyber-
- Cyber-Kriminalität
- Cyberkriminalität
- Cyber-Kriminelle
- Internet-Sicherheit
- Armaturenbrett
- technische Daten
- Datenbase
- Tage
- Behandlung
- entschieden
- Defenders
- Abteilung
- beschrieben
- Details
- erkannt
- Entdeckung
- entwickeln
- DID
- Direkt
- Display
- Displays
- Tut nicht
- Nicht
- herunterladen
- Früher
- entweder
- Mitarbeiter
- verschlüsselt
- Entwicklung
- Ingenieure
- genug
- anvertraut
- ausgestattet
- Sogar
- jedermann
- alles
- genau
- Beispiel
- Austausch-
- Exekutive
- vorhandenen
- erfahrensten
- Expertise
- ausgesetzt
- Verlängerung
- Gescheitert
- ziemlich
- Fälschung
- weit
- wenige
- Feld
- Finale
- Finden Sie
- folgen
- gefolgt
- Folgende
- Zum Glück
- für
- Materials des
- Mittel
- Zukunft
- gewinnen
- allgemein
- bekommen
- bekommen
- gegeben
- gibt
- Unterstützung
- Go
- gut
- praktisch
- Hardware
- Ernte
- hören
- Höhe
- Hinweise
- historisch
- schweben
- Ultraschall
- Hilfe
- HTTPS
- human
- Jagd
- sofort
- wichtig
- in
- Geneigt
- inklusive
- Einschließlich
- Krankengymnastik
- Information
- initiieren
- installieren
- beantragen müssen
- interessant
- eingreifen
- beteiligt
- IT
- Jargon
- springen
- Behalten
- Wissen
- bekannt
- Laptop
- neueste
- Lebensdauer
- Limitiert
- LINK
- Links
- Liste
- wenig
- Lang
- aussehen
- suchen
- Verlust
- Malware
- verwaltet
- viele
- Marge
- max-width
- MEA
- Mittel
- nur
- Nachricht
- Nachrichten
- könnte
- Minuten
- ändern
- mehr
- vor allem warme
- Name
- Namen
- Natur
- Need
- erforderlich
- benötigen
- Netzwerk
- weiter
- normal
- bekannt
- Benachrichtigung
- Zahlen
- offensichtlich
- angeboten
- EINEM
- Online
- Andere
- Anders
- Outsourcing
- besitzen
- Teil
- Passwort
- Passwörter
- Muster
- Alexander
- Personen
- vielleicht
- Phase
- Phishing
- Phishing
- Telefon
- Anruf
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Spieler
- Plugin
- Plugins
- Podcast
- Position
- BLOG-POSTS
- wahrscheinlich
- Verfahren
- Prozessdefinierung
- Programm
- geschützt
- Sicherheit
- bietet
- Bereitstellung
- Angebot
- Lesen Sie mehr
- Leser
- bereit
- echt
- wahres Leben
- kürzlich
- Veteran
- bezieht sich
- regelmäßig
- verhältnismäßig
- verbleibenden
- entfernt
- Fernzugriff
- wiederholen
- antworten
- berichten
- Meldungen
- Anforderung
- Reagieren
- Antwort
- aufschlussreich
- Daniel
- Risiko
- Führen Sie
- safe
- Said
- sagt
- Betrüger
- Bildschirm
- Bildschirme
- Suche
- Zweite
- Sekundär-
- Sekunden
- Die Geheime
- Sicherheitdienst
- scheint
- Satz
- Short
- sollte
- einfach
- am Standort
- Sitzend
- SMS
- So
- bis jetzt
- Social Media
- Soziale Technik
- Software
- verkauft
- solide
- einige
- Jemand,
- etwas
- Bald
- Quelle
- Unser Team
- Stufen
- Anfang
- angegeben
- Immer noch
- gestohlen
- Stärke
- so
- ZUSAMMENFASSUNG
- misstrauisch
- SVG
- Symptome
- System
- Nehmen
- Team
- Teams
- Techniken
- Terminal
- Das
- Die Coinbase
- ihr
- Denken
- Bedrohung
- Bedrohungen
- Wurf
- Zeit
- Tipps
- zu
- Tokens
- auch
- Werkzeug
- Werkzeuge
- Top
- traditionell
- Übergang
- transparent
- behandeln
- auslösen
- WENDE
- Drehung
- typisch
- Letztlich
- für
- zugrunde liegen,
- verstehen
- Unerwartet
- ungewöhnlich
- URL
- us
- -
- Mitglied
- gewöhnlich
- verified
- Opfer
- Anzeigen
- VPN
- Warten
- wollte
- beobachten
- bekannt
- Was
- welche
- während
- WHO
- werden wir
- bereit
- .
- ohne
- Wortlaut
- Worte
- Arbeiten
- Werk
- besorgt
- X
- XDR
- Ihr
- sich selbst
- Zephyrnet