הבורסה הפופולרית של מטבעות קריפטוגרפיים Coinbase הוא שם המותג המקוון הידוע האחרון הודה להפרה.
החברה החליטה להפוך את דוח הפריצה שלה לתערובת מעניינת של מעשה חלקי ועצות שימושיות לאחרים.
כמו במקרה האחרון של reddit, החברה לא יכלה להתאפק לזרוק את המילה S (מתוחכם), שנראה ששוב עונה על ההגדרה שהציע קורא ה-Naked Secuity, ריצ'רד פנינגטון ב-a תגובה אחרונה, שם הוא ציין זאת "מתוחכם" מתורגם בדרך כלל כ"טוב יותר מההגנות שלנו".
אנו נוטים להסכים כי ברבים, אם לא ברובם, דוחות הפרות שבהם איומים ותוקפים מתוארים כ מתוחכם or מתקדם, המילים הללו אכן משמשות באופן יחסי (כלומר טוב מדי עבורנו) ולא באופן מוחלט (למשל טוב מדי לכולם).
Coinbase הצהיר בביטחון, בתקציר המנהלים בתחילת המאמר שלו:
למרבה המזל, בקרות הסייבר של Coinbase מנעו מהתוקף לקבל גישה ישירה למערכת ומנעו כל אובדן כספים או פגיעה במידע הלקוח.
אבל הוודאות לכאורה התערערה על ידי ההודאה, במשפט הבא, כי:
רק כמות מוגבלת של נתונים מהמדריך הארגוני שלנו נחשפה.
לרוע המזל, אחד ה-TTPs (כלים, טכניקות ונהלים) המועדפים בהם משתמשים פושעי רשת ידוע בעגה תנועה צדדית, המתייחס לטריק של שיתוף מידע וגישה שנרכשו בחלק אחד של הפרה לגישה רחבה יותר ויותר למערכת.
במילים אחרות, אם פושע סייבר יכול להתעלל במחשב X השייך למשתמש Y כדי לאחזר נתונים ארגוניים סודיים ממסד הנתונים Z (במקרה זה, למרבה המזל, מוגבל לשמות עובדים, כתובות דואר אלקטרוני ומספרי טלפון)...
...ואז לומר שהתוקף לא "השיג גישה ישירה למערכת" נשמע כמו הבחנה אקדמית למדי, גם אם המנהלים בינינו כנראה מבינים את המילים האלה כדי לרמוז שהפושעים לא קיבלו הודעה סופנית שבה הם יכלו להפעיל כל פקודת מערכת שהם רוצים.
טיפים למגני איומים
עם זאת, Coinbase אכן רשמה כמה מהכלים, הטכניקות והנהלים של פושעי סייבר שחוותה בהתקפה זו, והרשימה מספקת כמה עצות שימושיות למגני איומים וצוותי XDR.
XDR היא קצת מילת באז בימינו (זה קיצור של זיהוי ותגובה מורחבים), אבל אנחנו חושבים שהדרך הפשוטה ביותר לתאר את זה היא:
זיהוי ותגובה מורחבים פירושם לחפש באופן קבוע ופעיל רמזים לכך שמישהו לא טוב ברשת שלך, במקום לחכות לזיהויי אבטחת סייבר מסורתיים בלוח המחוונים לתגובת האיומים שלך כדי להפעיל תגובה.
ברור ש-XDR לא אומר לכבות את כלי ההתראה והחסימה הקיימים שלך לאבטחת סייבר, אבל זה אומר להרחיב את הטווח והטבע של ציד האיומים שלך, כך שלא תחפש רק פושעי סייבר ברגע שאתה בטוח למדי שהם עשו זאת. כבר הגיעו, אבל גם שומר עליהם בזמן שהם עדיין מתכוננים לנסות תקיפה.
התקפת Coinbase, משוחזרת מהסטקטו המעט של החברה חשבון, נראה שכללו את השלבים הבאים:
- מספר 1: ניסיון דיוג מבוסס SMS.
הצוות נקרא באמצעות SMS להתחבר כדי לקרוא הודעה חשובה של החברה.
מטעמי נוחות, ההודעה כללה קישור לכניסה, אך הקישור הזה עבר לאתר מזויף שתפס שמות משתמש וסיסמאות.
ככל הנראה, התוקפים לא ידעו, או לא חשבו, כדי להשיג את ה-2FA (קוד אימות דו-גורמי) הם יצטרכו לצרף את שם המשתמש והסיסמה, כך שחלק זה של המתקפה יצא לפועל .
אנחנו לא יודעים איך 2FA הגן על החשבון. אולי Coinbase משתמש באסימוני חומרה, כגון Yubikeys, שלא עובדים רק על ידי מתן קוד בן שש ספרות שאתה מתמלל מהטלפון שלך לדפדפן או לאפליקציית ההתחברות שלך? אולי הנוכלים לא הצליחו לבקש את הקוד בכלל? אולי העובד זיהה את הפיש לאחר שמסר את הסיסמה שלו אך לפני שגילה את הסוד החד-פעמי האחרון הדרוש להשלמת התהליך? מהנוסח בדו"ח Coinbase, אנו חושדים שהנוכלים שכחו או לא מצאו דרך אמינה ללכוד את נתוני ה-2FA הדרושים במסכי הכניסה המזויפים שלהם. אל תעריך יתר על המידה את החוזק של 2FA מבוסס אפליקציות או SMS. כל תהליך 2FA שמסתמך רק על הקלדת קוד המוצג בטלפון שלך בשדה במחשב הנייד שלך מספק מעט מאוד הגנה מפני תוקפים שמוכנים ומוכנים לנסות את האישורים המזויפים שלך באופן מיידי. קודים אלה שנוצרו ב-SMS או אפליקציות מוגבלים בדרך כלל רק בזמן, ונשארים תקפים לכל מקום בין 30 שניות לכמה דקות, מה שבדרך כלל נותן לתוקפים מספיק זמן לקצור אותם ולהשתמש בהם לפני שהם יפוג.
- TELLTALE 2: שיחת טלפון ממישהו שאמר שהוא מ-IT.
זכרו שהמתקפה הזו הביאה בסופו של דבר לפושעים שרכשו רשימה של פרטי יצירת קשר עם העובדים, שאנו מניחים שבסופו של דבר יימכרו או יימסרו במחתרת לפשעי הסייבר כדי שנוכלים אחרים יוכלו להתעלל בהם בהתקפות עתידיות.
גם אם ניסית לשמור על סודיות פרטי הקשר שלך בעבודה, ייתכן שהם כבר נמצאים שם וידועים בכל מקרה, הודות להפרה קודמת שאולי לא זיהית, או למתקפה היסטורית נגד מקור משני, כגון מיקור חוץ חברה שבה הפקדת פעם את נתוני הצוות שלך.
- TELLTALE 3: בקשה להתקנת תוכנית גישה מרחוק.
בהפרת Coinbase, המהנדסים החברתיים שהתקשרו בשלב השני של המתקפה כנראה ביקשו מהקורבן להתקין את AnyDesk, ואחריו ISL Online.
לעולם אל תתקין תוכנה כלשהי, שלא לדבר על כלי גישה מרחוק (המאפשרים לאדם מבחוץ לצפות במסך שלך ולשלוט בעכבר ובמקלדת מרחוק כאילו הם יושבים מול המחשב שלך) על פי אמירתו של מישהו שזה עתה התקשר אליך, גם אם אתה חושב שהם ממחלקת ה-IT שלך.
אם לא התקשרת אליהם, כמעט בטוח שלעולם לא תהיה בטוח מי הם.
- TELLTALE 4: בקשה להתקנת תוסף לדפדפן.
במקרה של Coinbase, הכלי שהנוכלים רצו שהקורבן ישתמש בו נקרא EditThisCookie (דרך פשוטה במיוחד לאחזור סודות כגון אסימוני גישה מדפדפן של משתמש), אבל אתה צריך לסרב להתקין כל תוסף דפדפן על נגיד- כך של מישהו שאתה לא מכיר ומעולם לא פגשת.
תוספים לדפדפן מקבלים גישה כמעט בלתי מוגבלת לכל מה שאתה מקליד בדפדפן שלך, כולל סיסמאות, לפני שהן מוצפנות, ולכל מה שהדפדפן שלך מציג, אחרי שהוא פוענח.
תוספים יכולים לא רק לרגל אחר הגלישה שלך, אלא גם לשנות באופן בלתי נראה את מה שאתה מקליד לפני שהוא משודר, ואת התוכן שאתה מקבל בחזרה לפני שהוא מופיע על המסך.
מה לעשות?
כדי לחזור ולפתח את העצות שנתנו עד כה:
- לעולם אל תתחבר על ידי לחיצה על קישורים בהודעות. אתה צריך לדעת לאן ללכת בעצמך, מבלי להזדקק ל"עזרה" מהודעה שיכולה הייתה להגיע מכל מקום.
- לעולם אל תיקח עצות IT מאנשים שמתקשרים אליך. אתה צריך לדעת לאן להתקשר בעצמך, כדי להפחית את הסיכון שייצר קשר עם רמאי שיודע בדיוק את הזמן הנכון לקפוץ פנימה ונראה שהוא "עוזר" לך.
- לעולם אל תתקין תוכנה על פי אמירה של עובד IT שלא אימתת. אל תתקין אפילו תוכנה שאתה בעצמך מחשיב בטוחה, מכיוון שהמתקשר כנראה יפנה אותך להורדה ממולכדת שאליה כבר נוספה תוכנה זדונית.
- לעולם אל תענה להודעה או תתקשר בשאלה אם היא מקורית. השולח או המתקשר פשוט יגידו לך מה אתה רוצה לשמוע. דווח על אנשי קשר חשודים לצוות האבטחה שלך בהקדם האפשרי.
במקרה זה, Coinbase אומרת שצוות האבטחה שלה הצליח להשתמש בטכניקות XDR, לזהות דפוסי פעילות חריגים (לדוגמה, נסיונות כניסה דרך שירות VPN בלתי צפוי), ולהתערב תוך כ-10 דקות.
המשמעות היא שהאדם המותקף לא רק ניתק כל מגע עם הפושעים מיד, לפני שנגרם יותר מדי נזק, אלא ידע להיות זהיר במיוחד במקרה שהתוקפים יחזרו עם עוד תחבולות, חסרונות ומה שנקרא יריב פעיל תחבולות.
ודא שגם אתה חלק אנושי מ"רשת החיישנים" XDR של החברה שלך, יחד עם כל כלים טכנולוגיים צוות האבטחה שלך קיים.
מתן יותר למגנים הפעילים שלך להמשיך בכך שרק "כתובת מקור ה-VPN הופיעה ביומני גישה" פירושו שהם יהיו מצוידים הרבה יותר כדי לזהות ולהגיב להתקפה פעילה.
למד עוד על יריבים פעילים
בחיים האמיתיים, מה באמת עובד עבור נוכלי הסייבר כשהם יוזמים מתקפה? איך מוצאים ומטפלים בגורם הבסיסי להתקף, במקום להתמודד רק עם התסמינים הברורים?
למידע נוסף על XDR ו-MDR
חסר לך זמן או מומחיות לטפל בתגובה לאיומי אבטחת סייבר? חוששים שאבטחת סייבר תסיח את דעתך מכל שאר הדברים שאתה צריך לעשות?
תסתכל על Sophos Managed Detection and Response:
ציד, איתור ותגובה של איומים 24/7 ▶
למד עוד על הנדסה חברתית
הצטרפו אלינו ל ראיון מרתק עם רייצ'ל טובאק, DEFCON Social Engineering Capture the Flag champ, על איך לזהות ולדחות רמאים, מהנדסים חברתיים ופושעי סייבר מטופשים אחרים.
אין נגן פודקאסט שמופיע למטה? להקשיב ישירות בסאונדקלאוד.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- יכול
- אודות
- מוּחלָט
- בהחלט
- התעללות
- אקדמי
- גישה
- חֶשְׁבּוֹן
- נרכש
- רכישה
- פעיל
- באופן פעיל
- פעילות
- הוסיף
- כתובת
- כתובות
- עצה
- לאחר
- נגד
- נגד תוקפים
- תעשיות
- לבד
- כְּבָר
- בין היתר
- כמות
- ו
- בְּכָל מָקוֹם
- האפליקציה
- לכאורה
- לְהוֹפִיעַ
- מאמר
- לתקוף
- המתקפות
- ניסיתי
- אימות
- מחבר
- המכונית
- בחזרה
- רקע תמונה
- כי
- לפני
- להיות
- להלן
- מוטב
- בֵּין
- קצת
- חסימה
- גבול
- תַחתִית
- מותג
- הפרה
- חסר פרוטה
- דפדפן
- דפדוף
- שיחה
- נקרא
- שיחה
- ללכוד
- אשר
- מקרה
- לגרום
- מרכז
- מסוים
- בהחלט
- ודאות
- קוד
- קופונים
- coinbase
- Coinbase של
- צֶבַע
- איך
- חברה
- של החברה
- להשלים
- פשרה
- המחשב
- בביטחון
- חסרונות
- לשקול
- צור קשר
- אנשי קשר
- תוכן
- לִשְׁלוֹט
- בקרות
- נוחות
- משותף
- יכול
- לכסות
- אישורים
- פושעים
- קרוקס
- מטבע מבוזר
- המרת
- לקוח
- סייבר
- פשעי אינטרנט
- פושע רשת
- עברייני אינטרנט
- אבטחת סייבר
- לוח מחוונים
- נתונים
- מסד נתונים
- ימים
- התמודדות
- החליט
- המגינים
- מַחלָקָה
- מְתוּאָר
- פרטים
- זוהה
- איתור
- לפתח
- DID
- ישיר
- לְהַצִיג
- מציג
- לא
- לא
- להורדה
- דוא"ל
- מוקדם יותר
- או
- עובד
- מוצפן
- הנדסה
- מהנדסים
- מספיק
- מופקד
- מְצוּיָד
- אֲפִילוּ
- כולם
- הכל
- בדיוק
- דוגמה
- חליפין
- מנהלים
- קיימים
- מנוסה
- מומחיות
- חשוף
- מאריך
- נכשל
- למדי
- מְזוּיָף
- רחוק
- מעטים
- שדה
- סופי
- לעקוב
- בעקבות
- הבא
- למרבה המזל
- החל מ-
- חזית
- כספים
- עתיד
- זכייה
- בדרך כלל
- לקבל
- מקבל
- נתן
- נותן
- נתינה
- Go
- טוב
- שימושי
- חומרה
- קציר
- לִשְׁמוֹעַ
- גובה
- רמזים
- היסטורי
- להחזיק
- לרחף
- איך
- איך
- HTTPS
- בן אנוש
- ציד
- מיד
- חשוב
- in
- נוטה
- כלול
- כולל
- בנפרד
- מידע
- ליזום
- להתקין
- במקום
- מעניין
- להתערב
- מעורב
- IT
- בז'רגון
- לקפוץ
- שמור
- לדעת
- ידוע
- מחשב נייד
- האחרון
- החיים
- מוגבל
- קשר
- קישורים
- רשימה
- קְצָת
- ארוך
- נראה
- הסתכלות
- את
- תוכנות זדוניות
- הצליח
- רב
- שולים
- max-width
- MEA
- אומר
- רק
- הודעה
- הודעות
- יכול
- דקות
- לשנות
- יותר
- רוב
- שם
- שמות
- טבע
- צורך
- נחוץ
- צורך
- רשת
- הבא
- נוֹרמָלִי
- ציין
- הודעה
- מספרים
- ברור
- מוצע
- ONE
- באינטרנט
- אחר
- אחרים
- מיקור חוץ
- שֶׁלוֹ
- חלק
- סיסמה
- סיסמאות
- דפוסי
- פול
- אֲנָשִׁים
- אוּלַי
- שלב
- phish
- דיוג
- טלפון
- שיחת טלפון
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- שחקן
- חיבור
- תוספים
- פודקאסט
- עמדה
- הודעות
- כנראה
- נהלים
- תהליך
- תָכְנִית
- מוּגָן
- .
- מספק
- מתן
- רכס
- חומר עיוני
- קורא
- מוכן
- ממשי
- חיים אמיתיים
- לאחרונה
- להפחית
- מתייחס
- באופן קבוע
- יחסית
- נותר
- מרחוק
- גישה מרחוק
- לחזור על
- תשובה
- לדווח
- דוחות לדוגמא
- לבקש
- להגיב
- תגובה
- חושף
- ריצ'רד
- הסיכון
- הפעלה
- בטוח
- אמר
- אומר
- רמאים
- מסך
- מסכים
- חיפוש
- שְׁנִיָה
- משני
- שניות
- סוד
- אבטחה
- נראה
- משפט
- שרות
- קצר
- צריך
- בפשטות
- אתר
- ישיבה
- SMS
- So
- עד כה
- חֶברָתִי
- הנדסה חברתית
- תוכנה
- נמכרים
- מוצק
- כמה
- מישהו
- במידה מסוימת
- בקרוב
- מָקוֹר
- סגל
- שלבים
- התחלה
- אמור
- עוד
- גָנוּב
- כוח
- כזה
- סיכום
- חשוד
- SVG
- תסמינים
- מערכת
- לקחת
- נבחרת
- צוותי
- טכניקות
- מסוף
- השמיים
- מטבע הבסיס
- שֶׁלָהֶם
- דברים
- לחשוב
- איום
- איומים
- זורק
- זמן
- טיפים
- ל
- מטבעות
- גַם
- כלי
- כלים
- חלק עליון
- מסורתי
- מַעֲבָר
- שָׁקוּף
- טיפול
- להפעיל
- תור
- פנייה
- בדרך כלל
- בסופו של דבר
- תחת
- בְּסִיסִי
- להבין
- לא צפוי
- בלתי שגרתי
- כתובת האתר
- us
- להשתמש
- משתמש
- בְּדֶרֶך כְּלַל
- מְאוּמָת
- באמצעות
- קרבן
- לצפיה
- VPN
- הַמתָנָה
- רציתי
- צופה
- מוכר
- מה
- אשר
- בזמן
- מי
- יצטרך
- מוכן
- בתוך
- לְלֹא
- הניסוח
- מילים
- תיק עבודות
- עובד
- מודאג
- X
- XDR
- עצמך
- זפירנט