Cryptobeurs Coinbase is begin deze maand getroffen door een datalek nadat een medewerker in een phishingaanval trapte. Bij de aanval werden contactgegevens van personeel buitgemaakt. Volgens Coinbase kan iedereen slachtoffer van social engineering worden.
De aanval begon met een sms-bericht waarin ontvangers werd gesteld dat ze via de meegestuurde link moesten inloggen om een belangrijk bericht te zien. Eén medewerker deed dit en vulde zijn gebruikersnaam en wachtwoord op een phishingsite in. Met de inloggegevens probeerde de aanvaller vervolgens op systemen van Coinbase in te loggen. Dit mislukte, omdat de cryptobeurs van multifactorauthenticatie gebruikmaakt en de aanvaller hier niet over beschikte.
Twintig minuten nadat de medewerker zijn inloggegevens op de phishingsite had ingevuld werd hij door de aanvaller gebeld, die zich voordeed als een medewerker van de automatiseringsafdeling. Op verzoek van de aanvaller logde de Coinbase-medewerker in op zijn werkstation en volgde diens instructies op. Volgens Coinbase werden de verzoeken van de aanvaller aan de medewerker naarmate het gesprek vorderde steeds verdachter.
Uiteindelijk wist de aanvaller toegang tot het interne telefoonboek van Coinbase te krijgen en contactgegevens van medewerkers te stelen. Het gaat om namen, e-mailadressen en telefoonnummers. Het Computer Security Incident Response Team (CSIRT) van Coinbase werd door het eigen Security Incident and Event Management (SIEM) systeem gewaarschuwd over verdachte activiteit met account. Het securityteam nam hierna contact op met de medewerker die toen alle communicatie met de aanvaller verbrak.
Coinbase claimt dat er geen geld en klantgegevens zijn buitgemaakt. De aanval leert echter meerdere lessen, aldus de cryptobeurs. De eerste is dat iedereen is te social engineeren. "Mensen zijn sociale dieren. We willen behulpzaam zijn. We willen onderdeel van het team zijn. Als je denkt dat je niet in een goed uitgevoerde social engineering campagne trapt hou je jezelf voor de gek. In de juiste omstandigheid kan bijna iedereen een slachtoffer zijn", zo stelt de cryptobeurs.
Die voegt toe dat directe social engineering aanvallen, waar de eigen medewerker te maken kreeg, de lastigste aanvallen zijn. Hierbij wordt een slachtoffer direct via social media, de telefoon of in persoon benaderd. "Het is een favoriete tactiek van aanvallers overal, omdat die werkt."
In de melding over het incident geeft Coinbase ook verschillende kenmerken van de aanvaller. Die zit volgens de cryptobeurs achter een wereldwijde phishingaanval waar al honderddertig organisaties slachtoffer van zouden zijn geworden. De aanvaller zou slachtoffers onder andere remote desktopsoftware AnyDesk en ISL Online laten installeren. Daarnaast zijn bij aanvallen ook de Google Chrome-extensie "EditThisCookie" geïnstalleerd, vermoedelijk om cookies van het slachtoffer te stelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.