Amerika Birleşik Devletleri merkezli kripto para birimi değişim platformu Coinbase, şirket mühendislik ekibinin yaptığı açıklamaya göre şirket çalışanları, 5 Şubat’ta SMS dolandırıcılığı ve BT personelinin kimliğine bürünme içeren bir siber güvenlik saldırısında hedef alındı. Şirket açıklamasına göre hiçbir müşteri fonu veya bilgisi etkilenmedi. Coinbase’in mühendislik ekibi, saldırının karmaşık bir kimlik avı kampanyasıyla ilişkili olduğuna inanıyor.
Şirket çalışanlarına SMS mesajları ile siber saldırı yapıldı
Rapora göre, Pazar günü geç saatlerde birkaç Coinbase çalışanı, önemli bir mesaja erişmek için sağlanan bağlantı aracılığıyla acilen oturum açmalarını gerektiren SMS mesajları aldı. İyi niyetle hareket eden bir çalışan, istismarcının talimatlarını takip etti:
“Çoğunluk bu istemsiz mesajı görmezden gelirken, bir çalışan bunun önemli ve meşru bir mesaj olduğuna inanarak bağlantıyı tıkladı ve kullanıcı adını ve şifresini girdi. Oturum açtıktan sonra, çalışandan mesajı dikkate almaması istenir ve uyduğu için teşekkür bildirimi gelir.”
Coinbase Mühendislik ekibi, siber güvenlik saldırısına dair ayrıntıları aktardı. Fail daha sonra çalışanın kullanıcı adı ve şifresiyle Coinbase’in dahili sistemlerine uzaktan erişim elde etmek için defalarca girişimde bulundu, ancak Çok Faktörlü Kimlik Doğrulama (MFA) güvenlik önlemini geçemedi.
Kimlik doğrulaması başarısız olduktan ve otomatik olarak engellendikten sonra istismarcı, çalışanla telefonla iletişime geçti. Rapora göre saldırgan Coinbase’in BT departmanı olduğunu iddia etti ve çalışandan yardım istedi.
“Meşru bir Coinbase BT personeliyle konuştuklarına inanan çalışan, iş istasyonuna giriş yaptı ve saldırganın talimatlarını uygulamaya başladı. Bu, saldırgan ile giderek daha fazla şüphelenen bir çalışan arasında gidip gelmeye başladı. Görüşme ilerledikçe, talepler giderek daha fazla şüpheli hale geldi.”
Coinbase’in Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT), Güvenlik Olayı ve Olay Yönetimi (SIEM) sistemi tarafından olağandışı bir etkinlik hakkında uyarıldı. Bir olay müdahale görevlisi, alışılmadık davranışa yanıt olarak şirketin dahili mesajlaşma sistemi aracılığıyla kurbana ulaştı.
Raporda, “Bir şeylerin ciddi şekilde ters gittiğini anlayan çalışan, saldırganla tüm iletişimini kesti” açıklaması yer alıyor.
Coinbase’e göre, katmanlı kontrol ortamı, bazı personel bilgileri ele geçirilmiş olsa da müşteri fonlarını ve bilgilerini koruyor.
ABD’de geçen yıldan itibaren devam eden siber güvenlik saldırıları tedirginlik yaratıyor
Şirket, saldırının geçen yıldan bu yana özellikle Amerika Birleşik Devletleri’nde birçok şirketi hedef alan karmaşık bir saldırı kampanyasıyla ilişkili olduğuna inanıyor. Siber güvenlik şirketi Group-IB, Ağustos ayında, 130’dan fazla kuruluşun 9.931 hesabının ele geçirilmesiyle sonuçlanan büyük bir kampanyanın parçası olarak Twilio ve Cloudflare çalışanlarına yönelik benzer kimlik avı saldırılarını bildirdi.
Coinbase ekibi ayrıca müşterilerinin ve çalışanlarının sık sık dolandırıcıların hedefi olduğunu ve çözümün uygun eğitim sunmakta yattığını da belirtiyor. Konuyla ilgili ekip şu sözleri söyledi:
“Araştırmalar, ne kadar uyanık, yetenekli ve hazırlıklı olursa olsunlar, tüm insanların eninde sonunda kandırılabileceğini tekrar tekrar gösteriyor. Her zaman kötü şeylerin olacağı varsayımından hareket etmeliyiz. Müşterilerimizin ve çalışanlarımızın genel deneyimini iyileştirmeye çalışırken, bu saldırıların etkinliğini köreltmek için sürekli yenilik yapmamız gerekiyor.”
