Populaarne krüptovaluutavahetus Coinbase on uusim tuntud veebibränd, mis on tunnistas rikkumiseni.
Ettevõte otsustas muuta oma rikkumisteate huvitavaks seguks osalisest mea culpast ja kasulikest nõuannetest teistele.
Nagu hiljutise juhtumi puhul reddit, ettevõte ei suutnud vastu panna S-sõna sisse viskamisele (keeruline), mis näib taas järgivat Naked Secuity lugeja Richard Penningtoni poolt a hiljutine kommentaar, kus ta seda märkis "Keeruline" tähendab tavaliselt "parem kui meie kaitsemehhanismid".
Kaldume nõustuma, et paljudes, kui mitte enamikus, rikkumisteadetes, kus ähvardusi ja ründajaid kirjeldatakse kui keeruline or edasijõudnud, neid sõnu kasutatakse pigem suhteliselt (st meie jaoks liiga head) kui absoluutselt (nt kõigi jaoks liiga head).
Coinbase märkis oma artikli alguses olevas kokkuvõttes enesekindlalt:
Õnneks takistasid Coinbase'i küberkontrollid ründajal otsest juurdepääsu süsteemile ja hoidsid ära rahaliste vahendite kadumise või kliendi teabe ohtu sattumise.
Kuid seda näilist kindlust kahjustas juba järgmises lauses tunnistamine, et:
Meie ettevõtte kataloogist avaldati ainult piiratud hulk andmeid.
Kahjuks on küberkurjategijate üks lemmik-TTP-sid (tööriistu, tehnikaid ja protseduure) žargoonis tuntud kui külgmine liikumine, mis viitab nipile, kuidas ühes rikkumises omandatud teavet ja juurdepääsu edastada üha laiemale süsteemijuurdepääsule.
Teisisõnu, kui küberkurjategija saab kuritarvitada kasutajale Y kuuluvat arvutit X, et hankida andmebaasist Z konfidentsiaalseid ettevõtte andmeid (antud juhul piirdudes sellega õnneks töötajate nimede, e-posti aadresside ja telefoninumbritega)…
…siis kõlab ütlus, et ründaja ei saanud otsest juurdepääsu süsteemile, üsna akadeemilise eristusena, isegi kui meie seas olevad süsteemiadministraatorid mõistavad neid sõnu, mis viitavad sellele, et kurjategijad ei saanud terminali viipa. käivitage mis tahes süsteemikäsk, mida nad tahtsid.
Näpunäiteid ohukaitsjatele
Sellegipoolest loetles Coinbase mõned küberkuritegevuse tööriistad, tehnikad ja protseduurid, mida ta selles rünnakus koges, ning loetelu pakub kasulikke näpunäiteid ohukaitsjatele ja XDR-i meeskondadele.
XDR on tänapäeval pisut moesõna (see on lühend sõnadest laiendatud tuvastamine ja reageerimine), kuid me arvame, et kõige lihtsam viis selle kirjeldamiseks on:
Laiendatud tuvastamine ja reageerimine tähendab regulaarset ja aktiivset vihjete otsimist selle kohta, et kellelgi teie võrgus pole midagi head, selle asemel, et oodata, kuni teie ohule reageerimise armatuurlaual traditsioonilised küberturvalisuse tuvastamised reageerivad.
Ilmselgelt ei tähenda XDR teie olemasolevate küberturvalisuse hoiatus- ja blokeerimistööriistade väljalülitamist, kuid see tähendab teie ohujahi ulatuse ja olemuse laiendamist, nii et te ei otsi küberkurjategijaid ainult siis, kui olete nende olemasolus üsna kindel. juba saabunud, vaid ka jälgides neid, kui nad alles valmistuvad rünnakukatseks.
Coinbase'i rünnak, mis on rekonstrueeritud ettevõtte mõnevõrra staccato järgi konto, näib olevat hõlmanud järgmisi etappe:
- TELLTALE 1: SMS-põhine andmepüügikatse.
Töötajaid kutsuti SMS-i teel sisse logima, et lugeda olulist ettevõtteteatist.
Mugavuse huvides sisaldas sõnum sisselogimislinki, kuid see link läks võltsile saidile, mis salvestas kasutajanimesid ja paroole.
Ilmselt ei teadnud ründajad või ei arvanud, et 2FA (kahefaktorilise autentimiskoodi) kättesaamiseks peavad nad kasutajanime ja parooliga kaasas käima, nii et sellest rünnakust ei saanud midagi. .
Me ei tea, kuidas 2FA kontot kaitses. Võib-olla kasutab Coinbase riistvaramärke, nagu Yubikeys, mis ei tööta lihtsalt kuuekohalise koodi esitamisega, mille saate oma telefonist brauserisse või sisselogimisrakendusse ümber kirjutada? Võib-olla ei suutnud kelmid koodi üldse küsida? Võib-olla märkas töötaja andmepüüki pärast parooli edastamist, kuid enne protsessi lõpuleviimiseks vajaliku ühekordse saladuse avaldamist? Coinbase'i aruande sõnastuse põhjal kahtlustame, et kelmid kas unustasid või ei leidnud usutavat viisi vajalike 2FA andmete jäädvustamiseks oma võltsitud sisselogimisekraanidel. Ärge ülehinnake rakenduse- või SMS-põhise 2FA tugevust. Iga 2FA protsess, mis põhineb ainult telefonis kuvatava koodi sisestamisel sülearvuti väljale, pakub väga vähe kaitset ründajate eest, kes on valmis ja soovivad teie andmepüügimandaate kohe proovima. Neid SMS-i või rakenduste loodud koode piirab tavaliselt ainult aeg, mis jääb kehtima 30 sekundi ja mõne minuti vahel, mis annab ründajatele tavaliselt piisavalt aega, et need enne aegumist ära koguda ja kasutada.
- TELLTALE 2: Telefonikõne kelleltki, kes ütles, et nad on IT-st.
Pidage meeles, et selle ründe tulemusel omandasid kurjategijad töötajate kontaktandmete loendi, mis eeldatavasti müüakse või antakse maa alla küberkuritegevuse all, et teised kelmid saaksid tulevaste rünnakute käigus kuritarvitada.
Isegi kui olete püüdnud hoida oma töö kontaktandmeid konfidentsiaalsena, võivad need olla juba väljas ja niikuinii laialt tuntud tänu varasemale rikkumisele, mida te ei pruugi olla avastanud, või ajaloolisele rünnakule teisese allika (nt allhanke) vastu. ettevõte, millele te kunagi oma töötajate andmed usaldasite.
- TELLTALE 3: taotlus kaugjuurdepääsuprogrammi installimiseks.
Coinbase'i rikkumise korral palusid rünnaku teises etapis helistanud sotsiaalinsenerid ohvril installida AnyDesk, millele järgnes ISL Online.
Ärge kunagi installige tarkvara, rääkimata kaugjuurdepääsutööriistadest (mis võimaldavad kõrvalseisjal teie ekraani vaadata ning teie hiirt ja klaviatuuri eemalt juhtida, nagu nad istuksid teie arvuti ees), kui keegi teile just helistas. isegi kui arvate, et need on teie enda IT-osakonnast.
Kui te neile ei helistanud, pole te peaaegu kindlasti kunagi kindel, kes nad on.
- TELLTALE 4: taotlus brauseri pistikprogrammi installimiseks.
Coinbase'i puhul kandis tööriist, mida kelmid soovisid, et ohver kasutaks, nimeks EditThisCookie (ülilihtne viis saladuste, näiteks juurdepääsulubade, kasutaja brauserist hankimiseks), kuid te peaksite keelduma brauseri pistikprogrammi installimisest. nii et keegi, keda sa ei tunne ja pole kunagi kohanud.
Brauseri pistikprogrammid saavad peaaegu piiramatu juurdepääsu kõigele, mida brauserisse sisestate, sealhulgas paroolidele, enne kui need krüpteeritakse, ja kõigele, mida brauser kuvab, pärast selle dekrüpteerimist.
Pistikprogrammid ei saa mitte ainult teie sirvimist luurata, vaid ka nähtamatult muuta seda, mida sisestate enne selle edastamist, ja sisu, mille saate tagasi enne, kui see ekraanile ilmub.
Mida teha?
Seni antud nõuannete kordamiseks ja edasiarendamiseks:
- Ärge kunagi logige sisse, klõpsates sõnumites olevatel linkidel. Peaksite ise teadma, kuhu pöörduda, ilma et oleks vaja "abi" sõnumist, mis oleks võinud tulla ükskõik kust.
- Ärge kunagi võtke IT-alast nõu inimestelt, kes teile helistavad. Peaksite teadma, kuhu ise helistada, et vähendada ohtu, et teiega võib ühendust võtta pettur, kes teab täpselt õiget aega ja näib teid "aitavat".
- Ärge kunagi installige tarkvara IT-töötaja väitel, keda te pole kinnitanud. Ärge isegi installige tarkvara, mida te ise turvaliseks peate, sest tõenäoliselt suunab helistaja teid mõra allalaaditavale allalaadimisele, millesse on juba pahavara lisatud.
- Ärge kunagi vastake sõnumile ega helistage, küsides, kas see on ehtne. Saatja või helistaja ütleb teile lihtsalt seda, mida soovite kuulda. Teatage esimesel võimalusel kahtlastest kontaktidest oma turvameeskonnale.
Sel juhul ütles Coinbase, et tema enda turvameeskond suutis kasutada XDR-tehnikaid, märgates ebatavalisi tegevusmustreid (näiteks ootamatu VPN-teenuse kaudu sisselogimiskatsed) ja sekkuda umbes 10 minuti jooksul.
See tähendas, et rünnatav isik mitte ainult ei katkestanud koheselt, enne kui liiga palju kahju tehti, kurjategijatega igasuguse kontakti, vaid teadis olla eriti ettevaatlik juhuks, kui ründajad tulevad tagasi veel rohkemate kavaluste, miinuste ja nn. aktiivne vastane kelmused.
Veenduge, et olete oma ettevõtte XDR-i andurivõrgus ka inimene koos kõigi teistega tehnoloogilised vahendid teie turvameeskond on paigas.
Kui annate oma aktiivsetele kaitsjatele rohkem tegutsemist, kui lihtsalt „VPN-i lähteaadress kuvati juurdepääsulogides”, tähendab see, et nad on palju paremini varustatud aktiivse rünnaku tuvastamiseks ja sellele reageerimiseks.
LISATEAVE AKTIIVSETE VASTALISTE KOHTA
Mis tegelikult töötab küberkelmide jaoks, kui nad rünnaku algatavad? Kuidas leida ja ravida rünnaku algpõhjust, selle asemel, et tegeleda lihtsalt ilmsete sümptomitega?
LISATEAVE XDR-I JA MDR-i KOHTA
Kas napib aega või teadmisi küberjulgeolekuohtudele reageerimiseks? Kas olete mures, et küberturvalisus tõmbab teie tähelepanu kõrvale kõigilt muudelt asjadelt, mida peate tegema?
Heitke pilk lehele Sophos Managed Detection and Response:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine ▶
LISATEAVE SOTSIAALINSENERI KOHTA
Liituge meiega a põnev intervjuu koos Rachel Tobaciga, DEFCON Social Engineering Capture the Flagi tšempioniga, kuidas avastada ja tagasi lükata petturid, sotsiaalinsenerid ja muud nõmedad küberkurjategijad.
Kas allpool ei kuvata podcast-mängijat? Kuulake otse Soundcloudis.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Võimalik
- MEIST
- absoluutne
- absoluutselt
- kuritarvitamise
- akadeemiline
- juurdepääs
- konto
- omandatud
- omandamine
- aktiivne
- aktiivselt
- tegevus
- lisatud
- aadress
- aadressid
- nõuanne
- pärast
- vastu
- ründajate vastu
- Materjal: BPA ja flataatide vaba plastik
- üksi
- juba
- hulgas
- summa
- ja
- kuskil
- app
- ilmne
- ilmuma
- artikkel
- rünnak
- Reageerib
- üritasin
- Autentimine
- autor
- auto
- tagasi
- background-image
- sest
- enne
- on
- alla
- Parem
- vahel
- Natuke
- blokeerimine
- piir
- põhi
- bränd
- rikkumine
- Murdis
- brauseri
- Sirvimine
- helistama
- kutsutud
- helistaja
- lüüa
- mis
- juhul
- Põhjus
- keskus
- kindel
- kindlasti
- kindlus
- kood
- Koodid
- coinbase
- Coinbase's
- värv
- Tulema
- ettevõte
- Ettevõtte omad
- täitma
- kompromiss
- arvuti
- enesekindlalt
- Miinused
- Arvestama
- kontakt
- sidemed
- sisu
- kontrollida
- kontrolli
- mugavus
- Korporatiivne
- võiks
- cover
- volikiri
- Kurjategijad
- Kelmid
- cryptocurrency
- Krüptovaluutavahetus
- klient
- cyber
- Küberkuritegevus
- KÜBERKRIMINAAL
- küberkurjategijad
- Küberturvalisus
- armatuurlaud
- andmed
- andmebaas
- Päeva
- tegelema
- otsustatud
- Kaitsjad
- osakond
- kirjeldatud
- detailid
- tuvastatud
- Detection
- arendama
- DID
- otsene
- Ekraan
- Näidikute
- Ei tee
- Ära
- lae alla
- e-post
- Ajalugu
- kumbki
- Töötaja
- krüpteeritud
- Inseneriteadus
- Inseneride
- piisavalt
- usaldatud
- varustatud
- Isegi
- igaüks
- kõik
- täpselt
- näide
- vahetamine
- täidesaatev
- olemasolevate
- kogenud
- teadmised
- avatud
- laiendades
- Ebaõnnestunud
- õiglaselt
- võlts
- kaugele
- vähe
- väli
- lõplik
- leidma
- järgima
- Järgneb
- Järel
- Õnneks
- Alates
- esi-
- raha
- tulevik
- kasumi saamine
- üldiselt
- saama
- saamine
- antud
- annab
- andmine
- Go
- hea
- mugav
- riistvara
- saak
- kuulama
- kõrgus
- vihjed
- ajalooline
- hoidma
- hõljuma
- Kuidas
- Kuidas
- HTTPS
- inim-
- Jaht
- kohe
- oluline
- in
- kallutatud
- lisatud
- Kaasa arvatud
- eraldi
- info
- algatama
- paigaldama
- selle asemel
- huvitav
- vahele segama
- seotud
- IT
- erikeel
- hüppama
- hoidma
- Teadma
- teatud
- sülearvuti
- hiljemalt
- elu
- piiratud
- LINK
- lingid
- nimekiri
- vähe
- Pikk
- Vaata
- otsin
- kaotus
- malware
- juhitud
- palju
- Varu
- max laiuse
- MEA
- vahendid
- ainult
- sõnum
- kirjad
- võib
- protokoll
- muutma
- rohkem
- kõige
- nimi
- nimed
- loodus
- Vajadus
- vaja
- vajav
- võrk
- järgmine
- normaalne
- märkida
- teade
- numbrid
- Ilmne
- pakutud
- ONE
- Internetis
- Muu
- teised
- Outsourcing
- enda
- osa
- Parool
- paroolid
- mustrid
- Paul
- Inimesed
- ehk
- faas
- phish
- Phishing
- telefon
- Telefonikõne
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängija
- plugin
- pluginad
- podcast
- positsioon
- Postitusi
- tõenäoliselt
- menetlused
- protsess
- Programm
- kaitstud
- kaitse
- annab
- pakkudes
- valik
- Lugenud
- lugeja
- valmis
- reaalne
- päris elu
- hiljuti
- vähendama
- viitab
- regulaarselt
- suhteliselt
- ülejäänud
- kauge
- Remote Access
- kordama
- vastus
- aru
- Aruanded
- taotleda
- Reageerida
- vastus
- paljastav
- Richard
- Oht
- jooks
- ohutu
- Ütlesin
- ütleb
- Petturid
- Ekraan
- ekraanid
- otsimine
- Teine
- kesk-
- sekundit
- Saladus
- turvalisus
- tundub
- Lause
- teenus
- Lühike
- peaks
- lihtsalt
- site
- Istung
- SMS
- So
- nii kaugel
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- müüdud
- tahke
- mõned
- Keegi
- mõnevõrra
- Varsti
- allikas
- Personal
- etappidel
- algus
- väljendatud
- Veel
- varastatud
- tugevus
- selline
- KOKKUVÕTE
- kahtlane
- SVG
- Sümptomid
- süsteem
- Võtma
- meeskond
- meeskonnad
- tehnikat
- terminal
- .
- Mündibaas
- oma
- asjad
- Mõtlema
- oht
- ähvardused
- Viskamine
- aeg
- nõuanded
- et
- märgid
- liiga
- tööriist
- töövahendid
- ülemine
- traditsiooniline
- üleminek
- läbipaistev
- käsitlema
- vallandada
- Pöörake
- Pööramine
- tüüpiliselt
- lõpuks
- all
- aluseks
- mõistma
- Ootamatu
- ebatavaline
- URL
- us
- kasutama
- Kasutaja
- tavaliselt
- kinnitatud
- kaudu
- Ohver
- vaade
- VPN
- ootamine
- tagaotsitav
- vaadates
- hästi tuntud
- M
- mis
- kuigi
- WHO
- will
- valmis
- jooksul
- ilma
- sõnastus
- sõnad
- Töö
- töötab
- mures
- X
- XDR
- Sinu
- ise
- sephyrnet