Coinbase hace público un ataque de ingeniería social reciente a sus empleados

[DdmrDdmr]

Coinbase ha sufrido un ataque reciente de ingeniería social para intentar obtener las credenciales corporativas de empleados de la compañía, sin lograr los resultados deseados por parte de los hackers.

Los atacantes se hicieron con datos de contacto de varios empleados y les enviaron un SMS con un enlace para que se accediesen al sistema corporativo a través de él, a fin de leer un mensaje importante. Sólo uno picó, y por ende, le dio a los hackers sus credenciales de acceso al sistema corporativo (sin clarificarse el nivel de acceso que otorgaban y con qué privilegios).

Los hackers intentaron acceder al sistema, pero no lograron acceder al solicitarle el sistema factores adicionales de verificación que no tenían (supongo que algo tipo 2FA que no fuese un SMS). Su siguiente paso fue llamar al citado empleado y pretender ser de IT corporativo, solicitándole su ayuda en unas operaciones. Lograron que el empleado les diese acceso a una lista más extensa de empleados, correos y algunos teléfonos, antes de que éste se volviese sospechoso y cortase la comunicación. También ayudó en ello el sistema de alertas interno de Coinbase, que detectó los accesos infructuosos múltiples con las credenciales del empleado, y se pusieron en contacto con él mediante mensajería interna.


Ver:
https://bitcoin.es/crimenes/hacker-intenta-acceder-a-coinbase-a-traves-de-sus-empleados/
https://www.coinbase.com/blog/social-engineering-a-coinbase-case-study

[1714756628]

1714756628

[Porfirii]

Vaya, que lo intentaron con varios y finalmente dieron con el imprudente de turno, aunque finalmente también le olió mal. Bueno, por lo que narras, más bien podría decirse que fue gracias al sistema de alertas interno.

Ya lo hemos comentado alguna vez: el eslabón más débil. Pero a la hora de reclutar ¿qué haces? ¿cómo te aseguras que todos tus empleados con credenciales sensibles son lo suficientemente suspicaces? No sé si les harán algún tipo de prueba para poder acceder al puesto, pero una vez más se demuestra que con que haya un error en el proceso de selección se puede estar creando una vulnerabilidad importante.

[DdmrDdmr]

No hay mucho más que hacer que iterar en la formación, la prevención, la delimitación, y la monitorización.

Las empresas grandes suelen obligar a los empleados a hacer recurrentes cursillos, habitualmente online, de prevención, planteando escenarios y casos de uso a evitar mediante entornos explicativos e interactivos. Eso no va a evitar que pueda haber algún empleado que pique, por lo que entran en liza los demás factores.

En el caso reflejado en el OP, hay monitorización, algo que es clave con el salto de alarmas ante comportamientos anómalos (intentos de acceso erróneos, IPs desconocidas, actividad inusual, etc.), y prevención (al haber más factores de seguridad precisos para acceder al entorno corporativo).

[darxiaomi]

Tengo un amigo que trabaja en una empresa grande de aca que recientemente fue hackeada y me comentaba que cada X cantidad de tiempo el sector de informatica/cyberseguridad les envia mails (sin ellos saber de quien viene) y ven si alguno entra, de ser asi se anoticia al empleado y se le hace saber que fue una prueba interna.

Respecto a este empleado imagino que estara ya sin trabajo, porque la verdad que caer en una cosa por SMS a dia de hoy.....

O es mera "publicidad" encubierta de Coinbase.

[Hispo]

Yo que no trabajo en ninguna empresa de manejo de capitales, cada vez que me encuentro con un link en el foro o en lugares como Telegram, me lo pienso muy bien antes de entrar o no, aunado al escáner de hipervínculos que tengo en los atajos de navegador...

No losé, creo que esto me da la impresión de que esas personas que contratan para puestos en exchanges puede que si tengan experiencia en su cambio, pero nunca en el ámbito de Bitcoin y en los activos decentralizados.

Quizá en sus trabajos anteriores los ataques eran menos recuentes, por ser blancos más pequeños y menos atractivos para los hackers, y de lleno, sin nunca haber comprado un satoshi en su vida terminan trabajando para Coinbase, siendo bombardeados con cosas que no habían visto antes.

[DdmrDdmr]

<…>

Efectivamente, aparte de los cursos obligatorios al respecto cada varios meses (normalmente online sea explicativo o interactivo), las empresas que tienen cierta madurez en la detección y prevención envían correos a los empleados para calibrar su respuesta, ver quienes clickan los enlaces, y quienes reportan el correo a IT por ser sospechoso (phishing, malware, ingeniería social, etc.).
De hecho como anécdota, en navidades envié alguna postal de navidad online enlazada en un correo a personas de confianza en una empresas de entidad, y dicho correo fue enviado a IT para su análisis antes de acceder a los enlaces, a pesar de conocerme de sobras (bien hecho por eso).

En cuanto al asunto de Coinbase, además de requerir un poco más de espabilamiento en casos como el empleado que entregó sus claves, quizás podría derivarse como lección post-mortem algo en lo relativo al protocolo de identificación del interlocutor mediante los canales corporativos.

[seoincorporation]

Creo que empresas de este calibre deberían tener a sus empleados bien informados sobre tenas de seguridad informática y los diferentes tipos de ataques o por lo menos los mas comunes hoy en día para que cuando los empleados reciban ciertas preguntas puedan detectar que es un ataque. El echo de que nos pregunten nuestras credenciales a través de un mensaje (sin importar el medio) debería de disparar las alarmas.

Seguro que Coinbase toma esto como una enseñanza y pondrán manos a la obra en temas de capacitación en seguridad informática.