El intercambio de criptomonedas Coinbase sufrió un ataque de ciberseguridad dirigido a sus empleados el 5 de febrero. El ataque se produjo a través de estafas por SMS e implicó hacerse pasar por personal de TI, según un informe reciente del equipo de ingeniería de la empresa. No se vieron afectados los fondos o la información de los clientes, dijo la firma.

Según el informe, el domingo por la noche, varios empleados de Coinbase recibieron mensajes de texto que les pedían que iniciaran sesión urgentemente a través del enlace proporcionado para acceder a un mensaje importante. Actuando de buena fe, un empleado sigue las instrucciones del operador:

«Mientras que la mayoría ignoró este mensaje espontáneo, un empleado, creyendo que era un mensaje importante y legítimo, hizo clic en el enlace e ingresó su nombre de usuario y contraseña. Una vez que «inició sesión», se le solicita al empleado que ignore el mensaje y se le agradece por cumplir. .»

Luego, el perpetrador hizo varios intentos de acceder de forma remota a los sistemas internos de Coinbase con el nombre de usuario y la contraseña del empleado, pero no pudo pasar la medida de seguridad de autenticación multifactor (MFA).

LEER  Los derechos de propiedad digital son la clave para una economía Web3 próspera — Yat Siu de Animoca

Después de no poder autenticarse y ser bloqueado automáticamente, el explotador contactó al empleado por teléfono. Según el informe, el atacante afirmó ser el departamento de TI de Coinbase y le pidió ayuda al empleado:

“Creyendo que estaban hablando con un miembro legítimo del personal de TI de Coinbase, el empleado inició sesión en su estación de trabajo y comenzó a seguir las instrucciones del atacante. Esto inició un tira y afloja entre el agresor y un empleado cada vez más sospechoso. A medida que avanzaba la conversación, las solicitudes se volvieron cada vez más sospechosas».

El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Coinbase fue alertado de una actividad inusual por su sistema de Gestión de Incidentes y Eventos de Seguridad (SIEM). Un respondedor de incidentes se puso en contacto con la víctima a través del sistema de mensajería interna de la empresa en respuesta al comportamiento atípico.

“Al darse cuenta de que algo andaba mal, el oficial terminó todas las comunicaciones con el agresor”, dice el informe. Según Coinbase, su entorno de control de múltiples capas protege los fondos y la información de los clientes, aunque parte de la información de su personal se vio comprometida.

LEER  Los terroristas financian sus horribles actos con criptomonedas: funcionarios de la ONU

La compañía cree que el ataque está relacionado con un ataque sofisticado dirigido a muchas empresas desde el año pasado, particularmente en los Estados Unidos. La empresa de ciberseguridad Group-IB informó en agosto de 2022 ataques de phishing similares contra empleados de Twilio y Cloudflare como parte de una campaña a gran escala que resultó en el compromiso de 9931 cuentas en más de 130 organizaciones.

El equipo de Coinbase también señaló que sus clientes y empleados son objetivos frecuentes de los estafadores, y la solución radica en ofrecer una capacitación adecuada:

«La investigación ha demostrado una y otra vez que eventualmente todas las personas pueden ser engañadas, sin importar cuán alertas, experimentadas y preparadas estén. Siempre debemos operar a partir de la suposición de que sucederán cosas malas. Debemos innovar continuamente para mitigar la efectividad de estos ataques mientras nos esforzamos por mejorar la experiencia general para nuestros clientes y empleados».