Coinbase披露自身案例:黑客如何通过“社交工程”层层攻破
概述
Coinbase 最近经历了一次网络安全攻击,攻击针对其中一名员工。幸运的是,Coinbase 的网络安全控制措施阻止了攻击者直接访问系统,并防止了任何资金损失或客户信息泄露。仅有一部分来自我们的公司目录的数据被泄露。Coinbase 坚信透明度,我们希望我们的员工、客户和社区了解这次攻击的细节,并分享此攻击者使用的战术、技术和程序(TTP),以便每个人都可以更好地保护自己。
Coinbase 的客户和员工经常成为诈骗分子的目标。原因很简单,任何形式的货币,包括加密货币,都是网络犯罪分子追逐的目标。很容易理解为什么这么多攻击者不断寻找快速获利的途径。
应对如此众多的攻击者和网络安全挑战是我认为 Coinbase 是一个有趣的工作场所的原因之一。在本文中,我们将讨论一个实际的网络攻击和相关的网络事件,这是我们最近在 Coinbase 处理的。虽然我非常高兴地说,在这种情况下没有客户资金或客户信息受到影响,但仍有宝贵的经验教训可以学习。在 Coinbase,我们相信透明度。通过公开谈论这样的安全问题,我相信我们可以使整个社区更加安全和更加安全意识。
我们的故事始于 2023 年 2 月 5 日星期日的晚些时候。几部员工手机开始发出短信警报,表明他们需要通过提供的链接紧急登录以接收重要信息。虽然大多数人忽略了这个未经提示的消息,但一名员工认为这是一条重要的合法消息,点击了链接并输入了他们的用户名和密码。在“登录”后,该员工被提示忽略该消息,并感谢其遵守。
接下来发生的事情是,攻击者利用合法的 Coinbase 员工用户名和密码,多次试图远程访问 Coinbase。幸运的是,我们的网络安全控制系统做好了准备。攻击者无法提供所需的多重身份认证(MFA)凭据,因此被阻止进入。在许多情况下,这就是故事的结束。但这不是一名普通的攻击者。我们认为这个人与一场高度持久和复杂的攻击活动有关,自去年以来一直在针对许多公司。
大约 20 分钟后,我们的员工的手机响了。攻击者声称来自 Coinbase 公司的信息技术部,他们需要员工的帮助。由于相信自己在与一名合法的 Coinbase IT 工作人员交谈,该员工登录其工作站并开始按照攻击者的指示操作。这开始了攻击者和越来越怀疑的员工之间的一来一回。随着谈话的进行,请求变得越来越可疑。幸运的是,没有取走任何资金,也没有访问或查看任何客户信息,但一些我们员工的有限联系信息被获取,包括员工姓名、电子邮件地址和一些电话号码。
幸运的是,我们的计算机安全事件响应团队(CSIRT)在攻击发生的头 10 分钟内就掌握了此问题。我们的安全事件和管理系统提示我们存在异常活动。此后不久,我们的事件响应者通过内部 Coinbase 消息系统联系受害者,询问与其账户相关的一些异常行为和使用模式。员工意识到有严重的问题后,立刻终止了与攻击者的所有通信。
我们的 CSIRT 团队立即暂停了受害员工的所有访问权限,并展开了全面调查。由于我们的分层控制环境,没有资金损失,也没有泄露客户信息。清理工作相对迅速,但仍然有很多经验教训需要学习。
任何人都可能会受到社交工程攻击
人类是社交动物。我们希望相处融洽,希望成为团队的一份子。如果你认为你不可能被一个精心策划的社交工程攻击欺骗,那你就在欺骗自己。在合适的情况下,几乎任何人都可能成为受害者。
最难抵御的攻击是直接接触的社交工程攻击,就像我们的员工在这里遭受的攻击一样。攻击者直接通过社交媒体、你的手机,甚至更糟的是,走进你的家或商业场所与你联系。这些攻击并不新鲜。事实上,自人类的早期,这种攻击就一直在发生。这是攻击者的一种最喜欢的策略,因为它行之有效。
那么我们该怎么办呢?如何防止这种情况发生?
我想说这只是一个培训问题。客户、员工和每个人都需要接受更好的培训,他们需要做得更好。这种说法总是有一定的道理。但作为网络安全专业人士,这不能成为我们每次遇到这种情况时的借口。研究一次又一次地表明,所有人最终都可能被欺骗,无论他们多么警觉、熟练和准备。我们必须始终从坏事会发生的前提出发。我们需要不断创新,以削弱这些攻击的效果,同时努力提高我们的客户和员工的整体体验。
你能分享一些战术、技术和程序(TTP)吗?
当然可以。考虑到这个攻击者正在针对广泛的公司,我们希望每个人都知道我们所知道的内容。以下是我们建议你在企业日志/安全信息与事件管理系统(SIEM)中查找的一些特定事项:
从你的技术资产到以下地址的任何网页流量,其中 * 表示你的公司或组织名称:
●sso-*.com
●*-sso.com
●login.*-sso.com
●dashboard-*.com
●*-dashboard.com
以下远程桌面查看器的任何下载或尝试下载:
●AnyDesk (anydesk dot com)
●ISL Online (islonline dot com)
任何通过第三方 VPN 服务提供商(特别是Mullvad VPN)尝试访问您的组织的行为。
以下服务提供商的来电/短信:
●Google Voice
●Skype
●Vonage / Nexmo
●Bandwidth dot com
任何尝试安装以下浏览器扩展程序的意外行为:
●EditThisCookie
作为网络防御者,您应该预期看到使用盗窃的凭据、Cookie 或其他会话令牌从 VPN 服务(例如Mullvad)尝试登录企业应用程序的行为。还可能尝试列举面向客户支持的应用程序,例如客户关系管理(CRM)应用程序或员工目录应用程序。您还可能看到尝试将基于文本的数据复制到免费的文本或文件共享服务(例如riseup.net)的行为。
这样的情况谈论起来从未轻松。对于员工来说,这是令人尴尬的;对于网络安全专业人士和管理层来说,这是令人沮丧的。对于所有人来说,这都是令人沮丧的。但作为一个社区,我们需要更加公开地讨论这样的问题。如果你是 Coinbase 的客户,一定要对任何要求你提供个人信息的人持怀疑态度。永远不要共享你的凭据,永远不要允许任何人远程访问你的个人设备,并启用可用的最强身份验证方式。对于你的 Coinbase 账户,考虑使用物理安全令牌来访问你的账户。如果你不经常交易,请考虑使用我们的 Coinbase Vault 解决方案为你的资产提供额外的保护层。
如果你是 Coinbase 或任何其他拥有在线存在的公司的员工,你将会受到攻击。保持警惕,特别是当有人打电话或联系你时。一个简单的最佳实践是挂断电话,使用可信的电话号码或公司聊天技术寻求帮助。永远不要与或向首次联系你的人提供信息或登录信息。
如果你是一名网络安全专业人士,我们知道坏人总是会做坏事。但我们也应该记住好人也会犯错,我们最好的安全控制有时可能会失效。最重要的是,我们应该始终愿意学习和努力变得更好。我们都是人类。这是一个(希望)永远不会改变的恒定因素。
保持安全!
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
您可能感兴趣
-
KuCoin泰国获批合规交易所,SEC许可监管升级?
KuCoin在泰国获得SEC合规牌照,成为首批受监管的加密交易所之一,这是该平台全球化合规战略的重要一步。 这一进展不仅提升了KuCoin在东南亚市场的可信度,也为用户提供了更安全的
-
为何 Web3 金融来到了“iPhone 时刻”?
作者:罗汉堂观点 演讲嘉宾:沈康沈康:毕业于复旦大学航天航空系,拥有芝加哥大学布斯商学院 MBA 学位,持有美国 CFA 资格。曾在 PIMCO、所罗门美邦、博时基金等多家金融机构担任要职。2019
-
德克萨斯州建立战略储备,各国政府入局会如何影响比特币的长期价值?
德克萨斯州最近宣布将比特币纳入战略储备,这就像小区物业突然开始囤积黄金一样让人震惊!政府下场买比特币可不是简单投资,它可能让比特币从”野孩子”变成”正规军”,长期价值会
-
1384 天后以太坊终于创历史新高,下一个里程碑在哪里?
时隔 1384 天,以太坊终于迎来它在本轮周期的价格新高。 8 月 23 日,在美联储鲍威尔前一晚重磅「鸽派」讲话后,9 月降息预期大幅提升,美元资产全线上涨,几个小时后,以太坊以 14% 的涨幅触及
-
日交易量超比特币,狗狗币的「低手续费」优势能否支撑其长期流动性?
狗狗币靠1分钟到账、转账几乎零费用的优势,短期确实能吸引奶茶店买单这类小额高频交易。但长期要看它能否从小费界的”网红”升级成菜市场的”硬通货”,这取决于三大命门:通胀
-
MetaMask如何扩展至非EVM链?(Solana、Cosmos兼容性升级)26
huli钱包不再是以太坊专属工具了!最新升级让这只小狐狸成功闯入Solana、Cosmos等非EVM链的地盘。只需3步操作,你的钱包就能变身”跨链瑞士军刀”,本文将手把手教你解锁这项隐藏
-
为什么AI与区块链融合被称为“自主经济体”?
这事儿得从我上周的惨案说起。我那个AI炒股助手半夜自己买了【200块钱】的屎币,醒来发现连手续费都够买【5杯蜜雪冰城】了…但你说巧不巧,这不就是活生生的”自主经济体”雏形
-
2025年最佳硬件钱包是哪款?(对比Ledger/Trezor安全性与多链支持)
2025年硬件钱包双雄依然是Ledger Nano X和Trezor Model T,就像手机界的苹果和华为。要安全选Ledger,要玩多链选Trezor,下面我用”手机保险箱”的比喻带你看懂它们的区别。1️⃣
- 成交量排行
- 币种热搜榜