Un actor de amenazas desconocido hizo todo lo posible para intentar comprometer los sistemas internos que pertenecen a una de las plataformas de intercambio de criptomonedas más populares del mundo mediante un ataque de phishing.
Si bien los atacantes finalmente lograron violar el sistema, fueron expulsados antes de que se les permitiera causar daños graves. Según Coinbase, los fondos de los clientes, así como los datos de los clientes, están sanos y salvos.
El pirata informático inicialmente envió cinco mensajes SMS de phishing a los empleados de Coinbase, pidiéndoles que iniciaran sesión urgentemente en las cuentas de su empresa y leyeran un mensaje importante. Los mensajes contenían un enlace que suplantaba (se abre en una pestaña nueva) la página de inicio de sesión corporativa de Coinbase, pero de hecho no era más que una página de inicio maliciosa diseñada para robar datos confidenciales.
Protegido por MFA
Si bien la mayoría de los empleados vio a través de la estafa, uno no lo hizo y, por lo tanto, les dio a los piratas informáticos sus credenciales de inicio de sesión. Después de iniciar sesión, se agradeció a la víctima y se le pidió que ignorara el mensaje. Si bien lograron obtener las credenciales de inicio de sesión, los atacantes no pudieron hacer mucho ya que la cuenta estaba protegida con autenticación multifactor (MFA).
Sin embargo, eso no los detuvo. Pronto llamaron a la víctima por teléfono, haciéndose pasar por el departamento de TI de la empresa, y le pidieron que iniciara sesión en la estación de trabajo y siguiera diferentes instrucciones.
«Afortunadamente, no se tomaron fondos y no se accedió ni se vio información del cliente, pero se tomó información de contacto limitada de nuestros empleados, específicamente nombres de empleados, direcciones de correo electrónico y algunos números de teléfono», explicó Coinbase.
El CSIRT de Coinbase tardó unos diez minutos en darse cuenta de que la empresa estaba siendo atacada y comunicarse con la víctima sobre la actividad inusual.
En ese momento, la víctima se dio cuenta de que estaba siendo estafada y terminó la comunicación con el atacante.
Si bien nadie puede saber con certeza quién está detrás de la campaña, sigue un modus operandi similar al visto en las campañas de phishing Scatter Swine/0ktapus del año pasado.
En ese entonces, los expertos en seguridad cibernética de Group-IB dijeron que los atacantes lograron robar casi 1,000 inicios de sesión de acceso corporativo mediante el envío de mensajes SMS de phishing.
Vía: BleepingComputer (se abre en una pestaña nueva)