Coinbase è stata presa di mira da attacchi phishing durante il fine settimana: ecco cosa è successo veramente all’exchange di criptovalute.
Coinbase ha rivelato i dettagli di un attacco di phishing riuscito ma relativamente minore, in cui un dipendente ha risposto a un SMS con un link che gli chiedeva di accedere al proprio account per ricevere un messaggio importante.
L’exchange cripto statunitense ha descritto un attacco di phishing minore ma sofisticato. Un anno fa, qualcosa di simile ha portato al più grande hack di criptovalute mai avvenuto ai danni del ponte Ronin della società di giochi Web3 Sky Mavis.
Coinbase, attacchi phishing: cosa è successo all’exchange di criptovalute
Quello che è successo dopo è stato un caso di studio di un attacco di phishing relativamente sofisticato sventato da una buona sicurezza informatica. Ma è anche un promemoria di ciò che può accadere quando una persona è un po’ incauta, sia con il sistema del datore di lavoro che con il proprio portafoglio digitale.
L’attacco ha ottenuto solo alcune informazioni di contatto dei dipendenti. Eppure, un anno fa, gli hacker nordcoreani hanno utilizzato tecniche molto simili per ottenere il controllo del ponte di Ronin Network, permettendo loro di prosciugare i fondi degli utenti del gioco Axie Infinity per un valore di circa 625 milioni di dollari.
Sebbene l’attacco alla società di giochi Sky Mavis sia stato di un ordine di grandezza superiore, le ossa mostrano più di qualche somiglianza e il motivo per cui può accadere a chiunque.
Nell’hack Ronin, il famigerato Lazarus Group ha utilizzato lo spear phishing – prendendo di mira un ingegnere senior – e l’ingegneria sociale attraverso un’offerta di assunzione molto sofisticata inviata tramite LinkedIn.
Questo ha portato a una serie di colloqui approfonditi e a una generosa offerta di lavoro, contenuta in un PDF che ha infettato il suo computer con un malware. Questo ha dato agli hacker il controllo di quattro dei nove validatori blockchain Ronin. Il 23 marzo, dopo averne ottenuto un quinto in un altro modo, ne hanno preso il controllo e hanno prosciugato 173.600 ETH e 25,5 milioni di stablecoin USDC.
Una piccola crepa nel sistema
Il dipendente di Coinbase è stato l’unico, tra i tanti presi di mira, a rispondere all’IM di domenica. Ma è bastato questo per far sì che la situazione fosse peggiore. Lo ha dichiarato Jeff Lunglhofer, responsabile della sicurezza informatica di Coinbase, in un post sul blog.
Quando il dipendente di Coinbase si è collegato, gli è stato detto di ignorare il messaggio perché il problema era stato risolto.
Ma l’hacker aveva ora il nome utente e la password di un dipendente legittimo. Quando non è stato possibile accedere direttamente – Coinbase richiede l’autenticazione a più fattori – il sofisticato phisher ha fatto un ulteriore passo avanti. Ha chiamato il cellulare del dipendente, sostenendo di essere dell’IT.
Dopo aver accettato di aiutarlo, il dipendente è stato sottoposto a una serie di passaggi che lo hanno reso sempre più sospettoso. Nel frattempo, però, l’hacker ha avuto accesso ad alcuni dati minori dei dipendenti – nomi, numeri di telefono e indirizzi e-mail – ma non ai dati dei clienti.
A quel punto, ha detto Lunglhofer, il sistema di sicurezza informatica automatizzato di Coinbase ha notato l’attività insolita. Ha informato la sicurezza informatica in tempo reale della borsa, che ha contattato il dipendente tramite il sistema di messaggistica interna di Coinbase. La telefonata si è conclusa.
Nessun danno, nessun fallo e un esempio istruttivo. Soprattutto perché non avete un Computer Security Incident Response Team sul vostro portafoglio personale o, molto probabilmente, sul vostro sistema IT aziendale come Coinbase sul suo.
Può succedere a chiunue
Soprattutto, ha detto Lunglhofer, la lezione chiave è che chiunque può essere oggetto di social engineering. Ha sottolineato che:
“Gli esseri umani sono creature sociali. Vogliamo andare d’accordo. Vogliamo far parte della squadra. Se pensate di non poter essere ingannati da una campagna di social engineering ben eseguita, vi state prendendo in giro. Nelle giuste circostanze, quasi tutti possono essere vittime… È la tattica preferita dagli avversari di tutto il mondo, perché funziona“.
Tra le altre cose, non parlate mai con chi vi chiama o vi manda un messaggio. Piuttosto, riagganciate o disconnettetevi e accedete attraverso il sistema telefonico diretto o il portale web di un’azienda se il problema potrebbe essere reale, ha avvertito Lunglhofer.
“Situazioni come questa non sono mai facili da raccontare”, ha detto. “Sono imbarazzanti per i dipendenti, frustranti per i professionisti della sicurezza informatica e per la direzione. Sono frustranti per tutti. Ma come comunità dobbiamo essere più aperti su questioni come questa“. E ha aggiunto:
“Diffidate di chiunque vi chieda informazioni personali. Non condividete mai le vostre credenziali, non permettete mai a nessuno di accedere da remoto ai vostri dispositivi personali. Attivate la forma di autenticazione più forte a vostra disposizione… [e] prendete in considerazione la possibilità di passare a un token di sicurezza fisico per l’accesso al vostro account“.