Priljubljena borza kriptovalut Coinbase je najnovejša dobro znana spletna blagovna znamka, ki je priznal do kršitve.
Podjetje se je odločilo, da svoje poročilo o kršitvi spremeni v zanimivo mešanico delne krivde in priročnih nasvetov za druge.
Kot v nedavnem primeru Reddit, se podjetje ni moglo upreti dodajanju besede na S (prefinjeno), kar se spet zdi, da sledi definiciji, ki jo je ponudil bralec Naked Secuity Richard Pennington v a nedavni komentar, kjer je opozoril, da "Sofisticiran" se običajno prevede kot "boljši od naše obrambe".
Nagnjeni smo k temu, da so v mnogih, če ne v večini, poročila o kršitvah, kjer so grožnje in napadalci opisani kot prefinjeno or napredno, se te besede dejansko uporabljajo relativno (tj. predobro za nas) in ne absolutno (npr. predobro za vse).
Coinbase je v povzetku na začetku svojega članka samozavestno izjavil:
Na srečo je kibernetski nadzor Coinbase napadalcu preprečil neposreden dostop do sistema in preprečil kakršno koli izgubo sredstev ali ogrožanje podatkov o strankah.
Toda to navidezno gotovost je spodkopalo priznanje v naslednjem stavku, da:
Razkrita je bila le omejena količina podatkov iz našega poslovnega imenika.
Na žalost je eden izmed najljubših TTP (orodij, tehnik in postopkov), ki ga uporabljajo kibernetski kriminalci, v žargonu znan kot bočno gibanje, ki se nanaša na trik preigravanja informacij in dostopa, pridobljenega v enem delu vdora v vse širši sistemski dostop.
Z drugimi besedami, če lahko kibernetski kriminalec zlorabi računalnik X, ki pripada uporabniku Y, da pridobi zaupne podatke podjetja iz zbirke podatkov Z (v tem primeru na srečo omejeno na imena zaposlenih, e-poštne naslove in telefonske številke) ...
…potem reči, da napadalec ni »dobil neposrednega dostopa do sistema«, zveni kot precej akademska razlika, čeprav sistemski skrbniki med nami te besede verjetno razumejo kot nakazovanje, da kriminalci niso prejeli terminalskega poziva, na katerem bi lahko zagnati kateri koli sistemski ukaz, ki so ga želeli.
Nasveti za branilce pred grožnjami
Kljub temu je Coinbase navedel nekaj orodij, tehnik in postopkov kibernetskega kriminala, s katerimi se je soočil v tem napadu, seznam pa ponuja nekaj koristnih nasvetov za zagovornike groženj in ekipe XDR.
XDR je dandanes nekoliko modna beseda (okrajšava za razširjeno zaznavanje in odziv), vendar menimo, da je najenostavnejši način opisa:
Razširjeno zaznavanje in odzivanje pomeni redno in aktivno iskanje namigov, da nekdo v vašem omrežju ne dela nič dobrega, namesto da čakate na tradicionalna zaznavanja kibernetske varnosti na nadzorni plošči za odziv na grožnje, da sprožijo odziv.
Očitno XDR ne pomeni izklopa vaših obstoječih orodij za opozarjanje in blokiranje kibernetske varnosti, ampak pomeni razširitev obsega in narave vašega lova na grožnje, tako da ne iščete kibernetskih kriminalcev šele, ko ste dokaj prepričani, da so že prispeli, ampak tudi pazijo nanje, medtem ko se še pripravljajo na poskus napada.
Napad na Coinbase, rekonstruiran iz nekoliko staccato podjetja račun, se zdi, da je vključeval naslednje faze:
- TELLTALE 1: Poskus lažnega predstavljanja na osnovi SMS-a.
Osebje je bilo prek SMS-a pozvano, naj se prijavi in prebere pomembno obvestilo podjetja.
Zaradi udobja je sporočilo vključevalo povezavo za prijavo, vendar je ta povezava vodila na lažno spletno mesto, ki je zajemalo uporabniška imena in gesla.
Očitno napadalci niso vedeli ali pa si niso mislili, da bi morali priti do kode 2FA (dvostopenjska avtentikacijska koda), ki bi jo potrebovali skupaj z uporabniškim imenom in geslom, zato ta del napada ni bil uspešen. .
Ne vemo, kako je 2FA zaščitil račun. Morda Coinbase uporablja strojne žetone, kot je Yubikeys, ki ne delujejo preprosto tako, da zagotovijo šestmestno kodo, ki jo prepišete iz telefona v brskalnik ali aplikacijo za prijavo? Morda prevaranti sploh niso zahtevali kode? Morda je zaposleni opazil lažno predstavljanje, potem ko je izdal svoje geslo, vendar preden je razkril zadnjo enkratno skrivnost, potrebno za dokončanje postopka? Glede na besedilo v poročilu Coinbase sumimo, da so prevaranti bodisi pozabili ali niso mogli najti verjetnega načina za zajemanje potrebnih podatkov 2FA na svojih lažnih prijavnih zaslonih. Ne precenjujte moči 2FA, ki temelji na aplikacijah ali SMS-ih. Vsak postopek 2FA, ki se zanaša zgolj na vnos kode, prikazane na vašem telefonu, v polje na vašem prenosnem računalniku, zagotavlja zelo malo zaščite pred napadalci, ki so pripravljeni in pripravljeni takoj preizkusiti vaše lažne poverilnice. Te kode SMS ali aplikacije, ki jih ustvarijo, so običajno omejene samo s časom in ostanejo veljavne nekje med 30 sekundami in nekaj minutami, kar napadalcem običajno daje dovolj časa, da jih poberejo in uporabijo, preden potečejo.
- TELLTALE 2: Telefonski klic nekoga, ki je rekel, da je iz IT-ja.
Ne pozabite, da je ta napad nazadnje privedel do tega, da so kriminalci pridobili seznam kontaktnih podatkov zaposlenih, za katerega predvidevamo, da bo na koncu prodan ali podarjen v podzemlju kibernetskega kriminala, da ga bodo drugi goljufi zlorabili v prihodnjih napadih.
Tudi če ste poskušali ohraniti zaupne podatke o svojih delovnih kontaktih, so morda že tako ali tako zunaj in splošno znani zaradi prejšnje kršitve, ki je morda niste odkrili, ali zaradi zgodovinskega napada na sekundarni vir, kot je zunanje izvajanje podjetje, ki ste mu nekoč zaupali podatke o osebju.
- TELLTALE 3: Zahteva za namestitev programa za oddaljeni dostop.
Pri vdoru v Coinbase so družbeni inženirji, ki so poklicali v drugi fazi napada, očitno prosili žrtev, naj namesti AnyDesk, čemur je sledil ISL Online.
Nikoli ne nameščajte nobene programske opreme, kaj šele orodij za oddaljeni dostop (ki zunanjim osebam omogočajo ogled vašega zaslona ter upravljanje vaše miške in tipkovnice na daljavo, kot da bi sedeli pred vašim računalnikom) na dovoljenje nekoga, ki vas je pravkar poklical, tudi če mislite, da so iz vašega IT oddelka.
Če jih niste poklicali, skoraj zagotovo ne boste nikoli prepričani, kdo so.
- TELLTALE 4: Zahteva za namestitev vtičnika brskalnika.
V primeru Coinbase se je orodje, ki so ga prevaranti želeli, da žrtev uporabi, imenovalo EditThisCookie (izjemno preprost način za pridobivanje skrivnosti, kot so žetoni za dostop iz uporabnikovega brskalnika), vendar morate zavrniti namestitev katerega koli vtičnika brskalnika na say- torej nekoga, ki ga ne poznate in ga niste nikoli srečali.
Vtičniki brskalnika dobijo skoraj neoviran dostop do vsega, kar vtipkate v brskalnik, vključno z gesli, preden se šifrirajo, in do vsega, kar vaš brskalnik prikaže, potem ko je bilo dešifrirano.
Vtičniki ne morejo le vohuniti za vašim brskanjem, ampak tudi nevidno spremenijo tisto, kar vnesete, preden se prenese, in vsebino, ki jo dobite nazaj, preden se prikaže na zaslonu.
Kaj storiti?
Če želite ponoviti in razviti nasvete, ki smo jih dali do sedaj:
- Nikoli se ne prijavljajte s klikom na povezave v sporočilih. Sami bi morali vedeti, kam iti, ne da bi potrebovali »pomoč« sporočila, ki bi lahko prišlo od koder koli.
- Nikoli ne poslušajte IT nasvetov ljudi, ki vas pokličejo. Morali bi vedeti, kam poklicati sami, da zmanjšate tveganje, da vas kontaktira goljuf, ki točno ve, kdaj je pravi čas, da vskoči in se zdi, da vam »pomaga«.
- Nikoli ne nameščajte programske opreme po naročilu uslužbenca IT, ki ga niste preverili. Nikar ne nameščajte programske opreme, ki jo sami smatrate za varno, saj vas bo klicatelj verjetno usmeril na prenos z mino, v katerega je že dodana zlonamerna programska oprema.
- Nikoli ne odgovarjajte na sporočilo ali klic z vprašanjem, ali je pristen. Pošiljatelj ali klicatelj vam bo preprosto povedal, kar želite slišati. Sumljive stike čim prej prijavite svoji varnostni skupini.
V tem primeru Coinbase pravi, da je njegova varnostna ekipa lahko uporabila tehnike XDR, opazila nenavadne vzorce dejavnosti (na primer poskuse prijave prek nepričakovane storitve VPN) in posredovala v približno 10 minutah.
To je pomenilo, da napadeni posameznik ni le takoj prekinil vseh stikov s kriminalci, preden je bilo povzročeno preveč škode, ampak je vedel, da mora biti še posebej previden, če bi se napadalci vrnili s še več zvijačami, prevarami in t.i. aktivni nasprotnik zvijača.
Prepričajte se, da ste tudi človeški del »senzorskega omrežja XDR« svojega podjetja, skupaj s katerim koli drugim tehnoloških orodij vaša varnostna ekipa.
Če svojim aktivnim zagovornikom omogočite več možnosti, kot samo »izvorni naslov VPN, prikazan v dnevnikih dostopa«, pomeni, da bodo veliko bolje opremljeni za odkrivanje aktivnega napada in odziv nanj.
IZVEDI VEČ O AKTIVNIH NASPROTNIKIH
Kaj v resničnem življenju resnično deluje pri kibernetskih prevarantih, ko sprožijo napad? Kako najti in zdraviti osnovni vzrok napada, namesto da se ukvarjate samo z očitnimi simptomi?
VEČ O XDR IN MDR
Vam primanjkuje časa ali strokovnega znanja za odgovor na kibernetsko varnost? Vas skrbi, da vas bo kibernetska varnost na koncu odvrnila od vseh drugih stvari, ki jih morate početi?
Oglejte si Sophos Managed Detection and Response:
24/7 lov na grožnje, odkrivanje in odziv ▶
VEČ O SOCIALNEM INŽENIRINGU
Pridružite se nam fascinanten intervju z Rachel Tobac, prvakinjo DEFCON Social Engineering Capture the Flag, o tem, kako odkriti in zavrniti goljufe, socialne inženirje in druge zanič kibernetske kriminalce.
Spodaj ni predvajalnik podcastov? poslušaj neposredno na Soundcloudu.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/02/21/coinbase-breached-by-social-engineers-employee-data-stolen/
- 1
- 10
- 2FA
- a
- Sposobna
- O meni
- absolutna
- absolutno
- zloraba
- akademsko
- dostop
- Račun
- pridobljenih
- pridobitev
- aktivna
- aktivno
- dejavnost
- dodano
- Naslov
- naslovi
- nasveti
- po
- proti
- proti napadalcem
- vsi
- sam
- že
- med
- znesek
- in
- kjerkoli
- aplikacija
- očitno
- zdi
- članek
- napad
- Napadi
- poskus
- Preverjanje pristnosti
- Avtor
- avto
- nazaj
- ozadja, slike
- ker
- pred
- počutje
- spodaj
- Boljše
- med
- Bit
- blokiranje
- meja
- Bottom
- blagovne znamke
- kršitev
- broke
- brskalnik
- Brskanje
- klic
- se imenuje
- klicatelja
- zajemanje
- ki
- primeru
- Vzrok
- center
- nekatere
- Zagotovo
- varnost
- Koda
- Kode
- coinbase
- Coinbase's
- barva
- kako
- podjetje
- Podjetja
- dokončanje
- Kompromis
- računalnik
- samozavestno
- Proti
- Razmislite
- kontakt
- kontakti
- vsebina
- nadzor
- Nadzor
- udobje
- Corporate
- bi
- pokrov
- Mandatno
- Kriminalci
- Crooks
- cryptocurrency
- Zamenjava kripto valute
- stranka
- cyber
- kibernetski kriminaliteti
- KIBERKRIMINALEC
- cybercriminals
- Cybersecurity
- Armaturna plošča
- datum
- Baze podatkov
- Dnevi
- deliti
- odločil
- Branilci
- Oddelek
- opisano
- Podrobnosti
- Zaznali
- Odkrivanje
- Razvoj
- DID
- neposredna
- zaslon
- prikazovalniki
- Ne
- dont
- prenesi
- prej
- bodisi
- Zaposlen
- šifriran
- Inženiring
- Inženirji
- dovolj
- zaupana
- opremljena
- Tudi
- vsi
- vse
- točno
- Primer
- Izmenjava
- izvršni
- obstoječih
- izkušen
- strokovno znanje
- izpostavljena
- razširitev
- ni uspelo
- pošteno
- ponaredek
- daleč
- Nekaj
- Polje
- končna
- Najdi
- sledi
- sledili
- po
- Na srečo
- iz
- spredaj
- Skladi
- Prihodnost
- pridobivanje
- splošno
- dobili
- pridobivanje
- dana
- daje
- Giving
- Go
- dobro
- priročen
- strojna oprema
- žetev
- slišati
- višina
- nasveti
- zgodovinski
- držite
- hover
- Kako
- Kako
- HTTPS
- človeškega
- Lov
- takoj
- Pomembno
- in
- nagnjen
- vključeno
- Vključno
- individualna
- Podatki
- sproži
- namestitev
- Namesto
- Zanimivo
- intervenirati
- vključeni
- IT
- žargon
- skoči
- Imejte
- Vedite
- znano
- laptop
- Zadnji
- življenje
- Limited
- LINK
- Povezave
- Seznam
- malo
- Long
- Poglej
- si
- off
- zlonamerna programska oprema
- upravlja
- več
- Marža
- max širine
- MEA
- pomeni
- zgolj
- Sporočilo
- sporočil
- morda
- min
- spremenite
- več
- Najbolj
- Ime
- Imena
- Narava
- Nimate
- potrebna
- potrebujejo
- mreža
- Naslednja
- normalno
- opozoriti
- Obvestilo
- številke
- Očitna
- ponujen
- ONE
- na spletu
- Ostalo
- drugi
- Outsourcing
- lastne
- del
- Geslo
- gesla
- vzorci
- paul
- ljudje
- mogoče
- faza
- lažno predstavljanje
- Ribarjenje
- telefon
- Telefonski klic
- Kraj
- platon
- Platonova podatkovna inteligenca
- PlatoData
- predvajalnik
- vključiti
- plugins
- Podcast
- Stališče
- Prispevkov
- verjetno
- Postopki
- Postopek
- Program
- zaščiteni
- zaščita
- zagotavlja
- zagotavljanje
- območje
- Preberi
- Bralec
- pripravljen
- pravo
- resnično življenje
- nedavno
- zmanjša
- nanaša
- redno
- relativno
- Preostalih
- daljinsko
- Remote Access
- ponovite
- odgovori
- poročilo
- Poročila
- zahteva
- Odzove
- Odgovor
- razkrivajo
- Richard
- Tveganje
- Run
- varna
- Je dejal
- pravi
- Scammers
- Zaslon
- zasloni
- iskanje
- drugi
- sekundarno
- sekund
- skrivnost
- varnost
- Zdi se,
- stavek
- Storitev
- Kratke Hlače
- shouldnt
- preprosto
- spletna stran
- Sedenje
- SMS
- So
- doslej
- socialna
- Socialni inženiring
- Software
- prodaja
- trdna
- nekaj
- nekdo
- nekoliko
- Kmalu
- vir
- Osebje
- postopka
- Začetek
- navedla
- Še vedno
- ukradeno
- moč
- taka
- POVZETEK
- sumljiv
- SVG
- Simptomi
- sistem
- Bodite
- skupina
- Skupine
- tehnike
- terminal
- O
- Coinbase
- njihove
- stvari
- Pomislite
- Grožnja
- grožnje
- Metanje
- čas
- nasveti
- do
- Boni
- tudi
- orodje
- orodja
- vrh
- tradicionalna
- Prehod
- pregleden
- zdravljenje
- sprožijo
- OBRAT
- Obračalni
- tipično
- Konec koncev
- pod
- osnovni
- razumeli
- Nepričakovana
- nenavadno
- URL
- us
- uporaba
- uporabnik
- navadno
- preverjeno
- preko
- Žrtva
- Poglej
- VPN
- Čakam
- hotel
- gledanju
- dobro znana
- Kaj
- ki
- medtem
- WHO
- bo
- pripravljeni
- v
- brez
- besedilo
- besede
- delo
- deluje
- Skrbi
- X
- XDR
- Vaša rutina za
- sami
- zefirnet