Un acteur malveillant inconnu a déployé de grands efforts pour tenter de compromettre les systèmes internes appartenant à l'un des échanges de crypto-monnaie les plus populaires de la planète par le biais d'une attaque de phishing.
Bien que les attaquants aient finalement réussi à violer le système, ils ont été expulsés avant qu'ils ne soient autorisés à faire de sérieux dégâts. Selon Coinbase, les fonds des clients pour le service, comme les données des clients pour le service, sont sains et saufs.
Le pirate a d'abord envoyé 5 SMS de phishing aux employés de Coinbase, leur demandant de se connecter d'urgence aux comptes de leur entreprise et de lire un message essentiel. Les messages contenaient un lien qui usurpait l'identité (s'ouvre dans un nouvel onglet) de la page de connexion de l'entreprise Coinbase, mais n'était en fait rien de plus qu'une page de connexion malveillante développée pour voler des pièces et des données sensibles.
Protégé par MFA
Alors que la plupart des employés ont vu clair dans l’arnaque, un seul ne l’a pas fait et a donc donné ses identifiants de connexion aux pirates. Après s'être connectée, la victime a été remerciée et invitée à ignorer le message. Bien qu’ils aient réussi à obtenir les identifiants de connexion, les attaquants n’ont pas pu faire grand-chose car le compte était protégé par une authentification multifacteur (MFA).
Même si cela ne les a pas arrêtés. Ils ont rapidement appelé la victime au téléphone, se faisant passer pour le service informatique de l'entreprise, et lui ont demandé de se connecter au poste de travail et de suivre plusieurs instructions.
"Heureusement, aucun fonds n'a été prélevé et aucune information client n'a été consultée ou consultée, mais certaines informations de contact limitées ont été récupérées auprès de nos employés, notamment les noms des employés, les adresses e-mail et certains numéros de téléphone", a expliqué Coinbase.
Il a fallu environ dix minutes au Coinbase CSIRT pour se rendre compte que l'entreprise était attaquée et contacter la victime au sujet de l'activité inhabituelle.
À ce stade, la victime s'est rendu compte qu'elle avait été trompée et a mis fin à la communication avec l'agresseur.
Bien que personne ne puisse savoir avec certitude qui est derrière la campagne, qui suit un mode opératoire similaire à celui observé lors des campagnes de phishing Scatter Swine/0ktapus de l'année dernière.
À cette époque, les spécialistes de la cybersécurité de Group-IB ont affirmé que les attaquants avaient réussi à en voler presque un sans aucun identifiant d'accès à l'entreprise en envoyant des SMS de phishing.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)