(https://i.postimg.cc/kGYYr80Q/Coinbase.png) (https://postimages.org/)
Un actor de amenazas sofisticado lanzó una campaña de smishing contra los empleados del intercambio de criptomonedas Coinbase.
Según la empresa, el 5 de febrero de 2023, algunos de sus empleados recibieron mensajes de texto solicitándoles que iniciaran sesión urgentemente en sus cuentas mediante un enlace incrustado.
La mayoría de los empleados ignoraron el mensaje, pero la empresa reveló que un empleado hizo clic en el enlace y proporcionó sus credenciales. Una vez que "inicie sesión", se le solicita al empleado que ignore el mensaje.
Dado que Coinbase admite la autenticación de dos factores (2FA) para proteger la cuenta de sus empleados, el actor de amenazas no pudo acceder a la cuenta de este empleado. Sin embargo, después de 20 minutos, los piratas informáticos llamaron al empleado fingiendo ser del departamento de TI corporativo y le pidieron que iniciara sesión en su estación de trabajo.
El empleado siguió las instrucciones proporcionadas por los atacantes e inició sesión en su estación de trabajo. La buena noticia es que el equipo de seguridad de Coinbase detectó actividad sospechosa e inmediatamente alertó al empleado objetivo bloqueando al hacker.
El equipo CSIRT de la empresa suspendió de inmediato todo acceso para el empleado objetivo e inició una investigación sobre el ataque.
"Afortunadamente, no se tomaron fondos y no se accedió ni se vio información de los clientes, pero se tomaron algunos datos de contacto limitados de nuestros empleados, específicamente nombres de empleados, direcciones de correo electrónico y algunos números de teléfono".
La evidencia recopilada por Coinbase reveló que el ataque probablemente fue realizado por el actor de amenazas 0ktapus, que estuvo detrás de los ataques contra al menos otras 130 organizaciones, incluidas Twilio y Cloudflare.
Fuente:
SecurityAffairs
https://securityaffairs.com/142507/cyber-crime/coinbase-smishing-attack.html