Заявление Coinbase свидетельствует, что данные доступа к ИТ-инфраструктуре организации были похищены.
Одна из крупнейших и самых известных криптовалютных бирж, Coinbase, сообщила об инциденте с кибербезопасностью. Было подтверждено, что ИТ-системы организации были скомпрометированы хакерами, которые ранее атаковали такие организации, как Twilio, Cloudflare и DoorDash.
Хакеры из хакерской группы 0ktapus похитили логин одного из сотрудников компании и попытались получить доступ к ИТ-системам организации.
Что известно о хакерской группе 0ktapus?
Хакерская группа 0ktapus атаковала более 130 организаций в 2022 году, используя похожую схему действий. Их целью была кража учетных данных для входа в ИТ-системы организаций с помощью поддельных веб-сайтов, которые часто выдавали себя за сайты Okta.
В случае с Coinbase, фальшивые SMS-сообщения были отправлены нескольким сотрудникам Coinbase. Один из них повелся на фишинг и ввел свои учетные данные.
На следующем этапе была осуществлена попытка получить доступ к внутренним системам Coinbase с помощью скомпрометированных учетных данных. Атака не удалась благодаря внедренной системе многофакторной верификации – MFA.
Атака была удачной лишь частично
После неудачной атаки был применен вишинг, то есть телефонный звонок сотруднику. Хакеры представлялись службой поддержки Coinbase и заставили их войти на рабочую станцию, чтобы просмотреть информацию о сотрудниках, такую как имена, адреса электронной почты и номера телефонов.
Хакеры смогли увидеть через общий доступ к экрану некоторые виды внутренних информационных панелей и получить доступ к ограниченной контактной информации сотрудников, – сообщила пресс-секретарь компании.
В Coinbase говорят, что их команда безопасности отреагировала быстро, предотвратив доступ к данным или средствам клиентов.
