Coinbase 披露自身案例：黑客如何透過“社交工程”層層攻破

原文標題：Social Engineering - A Coinbase Case Study

原文作者：Coinbase

原文編譯：GaryMa，吳說區塊鏈

概述

Coinbase 最近經歷了一次網絡安全攻擊，攻擊針對其中一名員工。幸運的是，Coinbase 的網絡安全控制措施阻止了攻擊者直接訪問系統，並防止了任何資金損失或客戶信息泄露。僅有一部分來自我們的公司目錄的數據被泄露。Coinbase 堅信透明度，我們希望我們的員工、客戶和社區了解這次攻擊的細節，並分享此攻擊者使用的戰術、技術和程序（TTP），以便每個人都可以更好地保護自己。

Coinbase 的客戶和員工經常成為詐騙分子的目標。原因很簡單，任何形式的貨幣，包括加密貨幣，都是網絡犯罪分子追逐的目標。很容易理解為什麼這麼多攻擊者不斷尋找快速獲利的途徑。

應對如此眾多的攻擊者和網絡安全挑戰是我認為 Coinbase 是一個有趣的工作場所的原因之一。在本文中，我們將討論一個實際的網絡攻擊和相關的網絡事件，這是我們最近在 Coinbase 處理的。雖然我非常高興地說，在這種情況下沒有客戶資金或客戶信息受到影響，但仍有寶貴的經驗教訓可以學習。在 Coinbase，我們相信透明度。通過公開談論這樣的安全問題，我相信我們可以使整個社區更加安全和更加安全意識。

我們的故事始於 2023 年 2 月 5 日星期日的晚些時候。幾部員工手機開始發出短信警報，表明他們需要通過提供的鏈接緊急登錄以接收重要信息。雖然大多數人忽略了這個未經提示的消息，但一名員工認為這是一條重要的合法消息，點擊了鏈接並輸入了他們的用戶名和密碼。在"登錄"後，該員工被提示忽略該消息，並感謝其遵守。

接下來發生的事情是，攻擊者利用合法的 Coinbase 員工用戶名和密碼，多次試圖遠程訪問 Coinbase。幸運的是，我們的網絡安全控制系統做好了準備。攻擊者無法提供所需的多重身份認證（MFA）憑據，因此被阻止進入。在許多情況下，這就是故事的結束。但這不是一名普通的攻擊者。我們認為這個人與一場高度持久和複雜的攻擊活動有關，自去年以來一直在針對許多公司。

大約 20 分鐘後，我們的員工的手機響了。攻擊者聲稱來自 Coinbase 公司的信息技術部，他們需要員工的幫助。由於相信自己在與一名合法的 Coinbase IT 工作人員交談，該員工登錄其工作站並開始按照攻擊者的指示操作。這開始了攻擊者和越來越懷疑的員工之間的一來一回。隨著談話的進行，請求變得越來越可疑。幸運的是，沒有取走任何資金，也沒有訪問或查看任何客戶信息，但一些我們員工的有限聯繫信息被獲取，包括員工姓名、電子郵件地址和一些電話號碼。

幸運的是，我們的計算機安全事件響應團隊（CSIRT）在攻擊發生的頭 10 分鐘內就掌握了此問題。我們的安全事件和管理系統提示我們存在異常活動。此後不久，我們的事件響應者通過內部 Coinbase 消息系統聯繫受害者，詢問與其賬戶相關的一些異常行為和使用模式。員工意識到有嚴重的問題後，立刻終止了與攻擊者的所有通信。

我們的 CSIRT 團隊立即暫停了受害員工的所有訪問權限，並展開了全面調查。由於我們的分層控制環境，沒有資金損失，也沒有泄露客戶信息。清理工作相對迅速，但仍然有很多經驗教訓需要學習。

任何人都可能會受到社交工程攻擊

人類是社交動物。我們希望相處融洽，希望成為團隊的一份子。如果你認為你不可能被一個精心策劃的社交工程攻擊欺騙，那你就在欺騙自己。在合適的情況下，幾乎任何人都可能成為受害者。

最難抵禦的攻擊是直接接觸的社交工程攻擊，就像我們的員工在這裡遭受的攻擊一樣。攻擊者直接通過社交媒體、你的手機，甚至更糟的是，走進你的家或商業場所與你聯繫。這些攻擊並不新鮮。事實上，自人類的早期，這種攻擊就一直在發生。這是攻擊者的一種最喜歡的策略，因為它行之有效。

那麼我們該怎麼辦呢？如何防止這種情況發生？

我想說這只是個培訓問題。客戶、員工和每個人都需要接受更好的培訓，他們需要做得更好。這種說法總是有一定的道理。但作為網絡安全專業人士，這不能成為我們每次遇到這種情況時的藉口。研究一次又一次地表明，所有人最終都可能被欺騙，無論他們多麼警覺、熟練和準備。我們必須始終從壞事會發生的前提出發。我們需要不斷創新，以削弱這些攻擊的效果，同時努力提高我們的客戶和員工的整體體驗。

你能分享一些戰術、技術和程序（TTP）嗎？

當然可以。考慮到這個攻擊者正在針對廣泛的公司，我們希望每個人都知道我們所知道的內容。以下是我們建議你在企業日誌/安全信息與事件管理系統（SIEM）中查找的一些特定事項：

從你的技術資產到以下地址的任何網頁流量，其中 * 表示你的公司或組織名稱：

• sso-*.com
• *-sso.com
• login.*-sso.com
• dashboard-*.com
• *-dashboard.com

以下遠程桌面查看器的任何下載或嘗試下載：

• AnyDesk (anydesk dot com)
• ISL Online (islonline dot com)

任何通過第三方 VPN 服務提供商（特別是Mullvad VPN）嘗試訪問您的組織的行為。

以下服務提供商的來電/短信：

• Google Voice
• Skype
• Vonage / Nexmo
• Bandwidth dot com

任何嘗試安裝以下瀏覽器擴展程序的意外行為：

• EditThisCookie

作為網絡防禦者，您應該預期看到使用盜竊的憑據、Cookie 或其他會話令牌從 VPN 服務（例如Mullvad）嘗試登錄企業應用程序的行為。還可能嘗試列舉面向客戶支持的應用程序，例如客戶關係管理（CRM）應用程序或員工目錄應用程序。您還可能看到嘗試將基於文本的數據複製到免費的文本或文件共享服務（例如riseup.net）的行為。

這樣的情況談論起來從未輕鬆。對於員工來說，這是令人尷尬的；對於網絡安全專業人士和管理層來說，這是令人沮喪的。對於所有人來說，這都是令人沮喪的。但作為一個社區，我們需要更加公開地討論這樣的問題。如果你是 Coinbase 的客戶，一定要對任何要求你提供個人信息的人持懷疑態度。永遠不要共享你的憑據，永遠不要允許任何人遠程訪問你的個人設備，並啟用可用的最強身份驗證方式。對於你的 Coinbase 賬戶，考慮使用物理安全令牌來訪問你的賬戶。如果你不經常交易，請考慮使用我們的 Coinbase Vault 解決方案為你的資產提供額外的保護層。

如果你是 Coinbase 或任何其他擁有在線存在的公司的員工，你將會受到攻擊。保持警惕，特別是當有人打電話或聯繫你時。一個簡單的最佳實踐是掛斷電話，使用可信的電話號碼或公司聊天技術尋求幫助。永遠不要與或向首次聯繫你的人提供信息或登錄信息。

如果你是一名網絡安全專業人士，我們知道壞人總是會做壞事。但我們也應該記住好人也會犯錯，我們最好的安全控制有時可能會失效。最重要的是，我們應該始終願意學習和努力變得更好。我們都是人類。這是一個（希望）永遠不會改變的恆定因素。

保持安全！