El exchange de criptomonedas Coinbase sufrió un ataque de ciberseguridad dirigido a sus empleados el 5 de febrero. El ataque se produjo a través de estafas por SMS y consistió en suplantar la identidad del personal informático, según un informe reciente del equipo de ingeniería de la empresa. De acuerdo con la empresa, no se vieron afectados los fondos ni la información de ningún cliente.
Como indica el informe, a última hora del domingo varios empleados de Coinbase recibieron mensajes SMS en los que se les pedía que se conectaran urgentemente a través del enlace proporcionado para acceder a un mensaje importante. Actuando de buena fe, uno de los empleados siguió las instrucciones del explotador:
"Mientras que la mayoría ignora este mensaje no avanzado: un empleado, creyendo que es un mensaje importante y legítimo, hace clic en el enlace y entra en su nombre de usuario y contraseña. Después de" iniciar sesión ", se le solicita al empleado que ignore el mensaje y agradece por cumplir".
A continuación, el agresor intentó repetidamente acceder de forma remota a los sistemas internos de Coinbase con el nombre de usuario y la contraseña del empleado, pero fue incapaz de superar la medida de seguridad de autenticación multifactor (MFA).
Tras fracasar en su intento de autenticación y ser bloqueado automáticamente, el atacante se puso en contacto telefónico con el empleado. Según el informe, el atacante afirmó ser el departamento de IT de Coinbase y pidió ayuda al empleado:
"Creyendo que estaba hablando con un miembro legítimo del personal informático de Coinbase, el empleado se conectó a su puesto de trabajo y empezó a seguir las instrucciones del atacante. Así comenzó un tira y afloja entre el atacante y un empleado cada vez más sospechoso. A medida que avanzaba la conversación, las peticiones se hacían cada vez más sospechosas".
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Coinbase fue alertado de una actividad inusual por su sistema de Gestión de Incidentes y Eventos de Seguridad (SIEM). Un responsable de incidentes se puso en contacto con la víctima a través del sistema de mensajería interno de la empresa en respuesta al comportamiento atípico.
"Al darse cuenta de que algo iba muy mal, el empleado puso fin a toda comunicación con el atacante", dice el informe. Según Coinbase, su entorno de control por capas protegía los fondos y la información de los clientes, aunque parte de la información de su personal se había visto comprometida.
La empresa cree que el ataque está asociado a una sofisticada campaña de ataque que tuvo como objetivo a muchas empresas desde el año pasado, especialmente en Estados Unidos. La empresa de ciberseguridad Group-IB informó en agosto de 2022 de ataques similares de phishing a empleados de Twilio y Cloudflare como parte de una campaña masiva que terminó con 9,931 cuentas de más de 130 organizaciones comprometidas.
El equipo de Coinbase también señaló que sus clientes y empleados son objetivos frecuentes de los estafadores, y que la solución pasa por ofrecer una formación adecuada:
"La investigación demuestra una y otra vez que todas las personas pueden ser engañadas en algún momento, por muy alerta, hábiles y preparadas que estén. Debemos trabajar siempre partiendo de la base de que ocurrirán cosas malas. Debemos innovar constantemente para contrarrestar la eficacia de estos ataques, al tiempo que nos esforzamos por mejorar la experiencia general de nuestros clientes y empleados".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión