仮想通貨取引所 Coinbase は、昨年 Twilio、Cloudflare、DoorDash、およびその他の 100 以上の組織を標的にしたのと同じ攻撃者によって一時的に侵害されたことを確認しました。
で 死後 週末に公開された事件の中で、コインベースは、いわゆる「0ktapus」ハッカーが、会社のシステムにリモートでアクセスしようとして、従業員の 1 人のログイン資格情報を盗んだと述べました。
0ktapus は、2022 年に 130 以上の組織を標的にしたハッキング グループで、多くの場合、Okta のログイン ページになりすまして、何千人もの従業員の資格情報を盗もうとしています。 TechCrunch が確認したリークされた Crowdstrike レポートによると、ギャングは現在、いくつかのテクノロジー企業やビデオゲーム企業を標的にしているとのことです。
Coinbase の場合、0ktapus ハッカーは 2 月 5 日に、なりすましの SMS テキスト メッセージを数人の従業員に送信し、重要なメッセージを受信するには提供されたリンクを使用して緊急にログインする必要があることを伝えました。 1 人の従業員がフィッシング リンクをたどり、資格情報を入力しました。 次のフェーズでは、攻撃者は盗んだ資格情報を使用して Coinbase の内部システムにログインしようとしましたが、アクセスが多要素認証で保護されていたため失敗しました。
約 20 分後、攻撃者は音声フィッシング (「ビッシング」) を使用して、Coinbase IT チームの従業員であると主張する従業員に電話をかけ、被害者に自分のワークステーションにログインするように指示しました。 これにより、攻撃者は名前、電子メール アドレス、電話番号などの従業員情報を表示できました。
「攻撃者は少数の社内通信ツールのダッシュボードを閲覧し、限定された従業員の連絡先情報にアクセスすることができました」と、Coinbase の広報担当者 Jaclyn Sales は TechCrunch に語った。 「脅威アクターは、画面共有を通じて、内部ダッシュボードの特定のビューを表示し、限定された従業員の連絡先情報にアクセスすることができました。」
しかし、Coinbase によると、同社のセキュリティ チームは迅速に対応し、脅威アクセサーが顧客のデータや資金にアクセスするのを防いでいます。 「当社のセキュリティ チームは異常なアクティビティを迅速に検出し、内部システムやデータへの他のアクセスを防ぐことができました」とセールスは付け加えました。
コインベースは、顧客データへのアクセスはなかったと述べたが、同社の最高情報セキュリティ責任者であるジェフ・ラングルホーファー氏は、アカウントへのアクセスを強化するためにハードウェア セキュリティ キーへの切り替えを検討することをユーザーに推奨すると述べたが、フィッシングできないハードウェア キーを内部で使用しているかどうかについては明らかにしなかった。