Un acteur inconnu de la menace s’est donné beaucoup de mal pour essayer de compromettre les systèmes internes appartenant à l’une des plateformes d’échange de crypto-monnaie les plus populaires au monde en utilisant une attaque de phishing.
Bien que les attaquants aient finalement réussi à percer le système, ils ont été évincés avant d’être autorisés à causer des dommages graves. Selon Coinbase, les fonds des clients, ainsi que les données des clients, sont tous sains et saufs.
Le pirate a d’abord envoyé cinq SMS de phishing aux employés de Coinbase, leur demandant de se connecter d’urgence aux comptes de leur entreprise et de lire un message important. Les messages contenaient un lien usurpant l’identité (s’ouvre dans un nouvel onglet) la page de connexion d’entreprise Coinbase, mais n’était en fait rien de plus qu’une page de destination malveillante conçue pour voler des données sensibles.
Protégé par MFA
Alors que la plupart des employés ont vu clair dans l’arnaque, un ne l’a pas fait et a donc donné aux pirates leurs identifiants de connexion. Après s’être connectée, la victime a été remerciée et invitée à ignorer le message. Bien qu’ils aient réussi à obtenir les identifiants de connexion, les attaquants n’ont pas pu faire grand-chose car le compte était protégé par une authentification multifacteur (MFA).
Cela ne les a pas arrêtés pour autant. Ils ont rapidement appelé la victime au téléphone, se faisant passer pour le service informatique de l’entreprise, et lui ont demandé de se connecter au poste de travail et de suivre différentes instructions.
« Heureusement, aucun fonds n’a été prélevé et aucune information client n’a été consultée ou consultée, mais certaines informations de contact limitées de nos employés ont été prises, en particulier les noms des employés, les adresses e-mail et certains numéros de téléphone », a expliqué Coinbase.
Il a fallu environ dix minutes au CSIRT de Coinbase pour réaliser que l’entreprise était attaquée et pour contacter la victime au sujet de l’activité inhabituelle.
À ce stade, la victime s’est rendu compte qu’elle était victime d’une fraude et a mis fin à la communication avec l’attaquant.
Bien que personne ne puisse savoir avec certitude qui est derrière la campagne, qui suit un mode opératoire similaire à celui observé dans les campagnes de phishing Scatter Swine/0ktapus de l’année dernière.
À l’époque, les experts en cybersécurité de Group-IB ont déclaré que les attaquants avaient réussi à voler près de 1 000 identifiants d’accès d’entreprise en envoyant des SMS de phishing.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)