Karyawan Coinbase menjadi sasaran serangan keamanan siber pada 5 Februari yang melibatkan penipuan SMS dan peniruan identitas staf TI, menurut ke laporan terbaru dari tim teknik perusahaan. Tidak ada dana atau informasi pelanggan yang terpengaruh, kata pertukaran crypto.
Menurut laporan tersebut, pada hari Minggu malam beberapa karyawan Coinbase menerima pesan SMS yang meminta mereka untuk segera masuk melalui tautan yang disediakan untuk mengakses pesan penting. Bertindak dengan itikad baik, seorang karyawan mengikuti instruksi pengeksploitasi:
“Sementara sebagian besar mengabaikan pesan yang tidak diminta ini – satu karyawan, percaya bahwa ini adalah pesan yang penting dan sah, mengklik tautan dan memasukkan nama pengguna dan kata sandi mereka. Setelah 'masuk', karyawan diminta untuk mengabaikan pesan tersebut dan berterima kasih karena telah mematuhinya.”
Pelaku kemudian melakukan upaya berulang kali untuk mendapatkan akses jarak jauh ke sistem internal Coinbase dengan nama pengguna dan kata sandi karyawan, tetapi tidak dapat melewati langkah keamanan Multi-Factor Authentication (MFA).
Setelah gagal mengautentikasi dan diblokir secara otomatis, pengeksploitasi menghubungi karyawan tersebut melalui telepon. Menurut laporan tersebut, penyerang mengaku sebagai departemen TI Coinbase dan meminta bantuan karyawan tersebut:
“Meyakini bahwa mereka sedang berbicara dengan anggota staf TI Coinbase yang sah, karyawan tersebut masuk ke workstation mereka dan mulai mengikuti instruksi penyerang. Itu memulai bolak-balik antara penyerang dan karyawan yang semakin mencurigakan. Saat percakapan berlanjut, permintaan menjadi semakin mencurigakan.”
Tim Respons Insiden Keamanan Komputer (CSIRT) Coinbase diberi tahu tentang aktivitas yang tidak biasa oleh sistem Manajemen Insiden dan Peristiwa Keamanan (SIEM). Responden insiden menjangkau korban melalui sistem pesan internal perusahaan sebagai tanggapan atas perilaku yang tidak biasa.
"Menyadari ada sesuatu yang sangat salah, karyawan tersebut memutuskan semua komunikasi dengan penyerang," kata laporan itu. Menurut Coinbase, lingkungan kontrol berlapisnya melindungi dana dan informasi pelanggan, meskipun beberapa informasi personelnya telah disusupi.
has Perusahaan percaya serangan itu terkait dengan kampanye serangan canggih yang telah menargetkan banyak perusahaan sejak tahun lalu, terutama di Amerika Serikat. Grup perusahaan keamanan siber-IB melaporkan pada bulan Agustus serangan phishing serupa terhadap karyawan Twilio dan Cloudflare sebagai bagian dari kampanye besar-besaran yang berakhir dengan 9,931 akun dari lebih dari 130 organisasi yang disusupi.
Tim Coinbase juga mencatat bahwa pelanggan dan karyawannya sering menjadi sasaran penipu, dan solusinya terletak pada menawarkan pelatihan yang sesuai:
“Penelitian berulang kali menunjukkan bahwa semua orang pada akhirnya dapat dibodohi, tidak peduli seberapa waspada, terampil, dan siapnya mereka. Kita harus selalu bekerja dari asumsi bahwa hal buruk akan terjadi. Kami harus terus berinovasi untuk menumpulkan keefektifan serangan ini sambil juga berusaha untuk meningkatkan pengalaman pelanggan dan karyawan kami secara keseluruhan.”
Sumber: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees