Die Krypto-Börse Coinbase erlebte am 5. Februar einen Cybersicherheitsangriff auf seine Mitarbeiter. Der Angriff erfolgte durch SMS-Betrug und beinhaltete die Imitation von IT-Mitarbeitern, nach zu einem aktuellen Bericht des Ingenieurteams des Unternehmens. Die Gelder oder Informationen von Kunden waren nicht betroffen, sagte das Unternehmen.
Dem Bericht zufolge erhielten an einem späten Sonntag mehrere Mitarbeiter von Coinbase SMS-Nachrichten, in denen sie aufgefordert wurden, sich dringend über den bereitgestellten Link einzuloggen, um auf eine wichtige Nachricht zuzugreifen. Ein Mitarbeiter handelte in gutem Glauben und befolgte die Anweisungen des Ausbeuters:
„Während die Mehrheit diese unaufgeforderte Nachricht ignoriert, klickt ein Mitarbeiter, der glaubt, dass es sich um eine wichtige und legitime Nachricht handelt, auf den Link und gibt seinen Benutzernamen und sein Passwort ein .”
Der Täter unternahm daraufhin wiederholt Versuche, sich mit dem Benutzernamen und Passwort des Mitarbeiters Fernzugriff auf die internen Systeme von Coinbase zu verschaffen, konnte aber die Sicherheitsmaßnahme Multi-Factor Authentication (MFA) nicht passieren.
Nachdem er sich nicht authentifizieren konnte und automatisch blockiert wurde, kontaktierte der Exploiter den Mitarbeiter telefonisch. Dem Bericht zufolge gab der Angreifer vor, die IT-Abteilung von Coinbase zu sein und bat den Mitarbeiter um Unterstützung:
„In dem Glauben, dass sie mit einem legitimen IT-Mitarbeiter von Coinbase sprachen, loggte sich der Mitarbeiter in seine Workstation ein und begann, den Anweisungen des Angreifers zu folgen. Das begann ein Hin und Her zwischen dem Angreifer und einem zunehmend misstrauischen Mitarbeiter. Im Laufe des Gesprächs wurden die Anfragen lauter immer misstrauischer.”
Das Computer Security Incident Response Team (CSIRT) von Coinbase wurde über eine ungewöhnliche Aktivität seines Security Incident and Event Management (SIEM)-Systems gewarnt. Ein Vorfall-Responder kontaktierte das Opfer über das interne Nachrichtensystem des Unternehmens als Reaktion auf das atypische Verhalten.
„Als der Mitarbeiter erkannte, dass etwas ernsthaft falsch war, beendete er jegliche Kommunikation mit dem Angreifer“, heißt es in dem Bericht. Laut Coinbase schützte seine mehrschichtige Kontrollumgebung Kundengelder und -informationen, obwohl einige der Informationen seines Personals kompromittiert worden waren.
Das Unternehmen geht davon aus, dass der Angriff mit einer ausgeklügelten Angriffskampagne zusammenhängt, die seit letztem Jahr auf viele Unternehmen abzielt, insbesondere in den Vereinigten Staaten. Cybersicherheitsunternehmen Group-IB gemeldet im August 2022 ähnliche Phishing-Angriffe auf Mitarbeiter von Twilio und Cloudflare als Teil einer massiven Kampagne, die dazu führte, dass 9.931 Konten von über 130 Organisationen kompromittiert wurden.
Das Team von Coinbase stellte auch fest, dass seine Kunden und Mitarbeiter häufig Ziele von Betrügern sind und die Lösung darin besteht, entsprechende Schulungen anzubieten:
„Die Forschung zeigt immer wieder, dass alle Menschen irgendwann getäuscht werden können, egal wie aufmerksam, geschickt und vorbereitet sie sind. Wir müssen immer davon ausgehen, dass schlimme Dinge passieren werden. Wir müssen ständig innovativ sein, um die Effektivität abzuschwächen diese Angriffe und streben gleichzeitig danach, das Gesamterlebnis unserer Kunden und Mitarbeiter zu verbessern.”