编译:GaryMa 吴说区块链
概述
Coinbase 最近阅历了一次网络安全进犯,进犯针对其间一名职工。走运的是,Coinbase 的网络安全操控措施阻挠了进犯者直接拜访系统,并避免了任何资金丢失或客户信息泄露。仅有一部分来自咱们的公司目录的数据被泄露。Coinbase 坚信透明度,咱们期望咱们的职工、客户和社区了解这次进犯的细节,并同享此进犯者运用的战术、技能和程序(TTP),以便每个人都能够更好地维护自己。
Coinbase 的客户和职工常常成为诈骗分子的方针。原因很简单,任何形式的钱银,包含加密钱银,都是网络犯罪分子追逐的方针。很简单理解为什么这么多进犯者不断寻觅快速获利的途径。
应对如此很多的进犯者和网络安全挑战是我以为 Coinbase 是一个风趣的作业场所的原因之一。在本文中,咱们将评论一个实际的网络进犯和相关的网络事情,这是咱们最近在 Coinbase 处理的。尽管我非常高兴地说,在这种状况下没有客户资金或客户信息遭到影响,但仍有名贵的经验教训能够学习。在 Coinbase,咱们相信透明度。经过公开谈论这样的安全问题,我相信咱们能够使整个社区愈加安全和愈加安全意识。
咱们的故事始于 2023 年 2 月 5 日星期日的晚些时候。几部职工手机开端发出短信警报,标明他们需求经过供给的链接紧急登录以接收重要信息。尽管大多数人疏忽了这个未经提示的音讯,但一名职工以为这是一条重要的合法音讯,点击了链接并输入了他们的用户名和暗码。在“登录”后,该职工被提示疏忽该音讯,并感谢其恪守。
接下来产生的事情是,进犯者利用合法的 Coinbase 职工用户名和暗码,多次试图远程拜访 Coinbase。走运的是,咱们的网络安全操控系统做好了预备。进犯者无法供给所需的多重身份认证(MFA)凭证,因而被阻挠进入。在许多状况下,这便是故事的结束。但这不是一名一般的进犯者。咱们以为这个人与一场高度持久和杂乱的进犯活动有关,自上一年以来一直在针对许多公司。
大约 20 分钟后,咱们的职工的手机响了。进犯者宣称来自 Coinbase 公司的信息技能部,他们需求职工的协助。由于相信自己在与一名合法的 Coinbase IT 作业人员攀谈,该职工登录其作业站并开端依照进犯者的指示操作。这开端了进犯者和越来越怀疑的职工之间的一来一回。随着谈话的进行,请求变得越来越可疑。走运的是,没有取走任何资金,也没有拜访或查看任何客户信息,但一些咱们职工的有限联络信息被获取,包含职工姓名、电子邮件地址和一些电话号码。
走运的是,咱们的计算机安全事情响应团队(CSIRT)在进犯产生的头 10 分钟内就把握了此问题。咱们的安全事情和办理系统提示咱们存在反常活动。此后不久,咱们的事情响应者经过内部 Coinbase 音讯系统联络受害者,询问与其账户相关的一些反常行为和运用形式。职工意识到有严峻的问题后,立刻停止了与进犯者的一切通信。
咱们的 CSIRT 团队当即暂停了受害职工的一切拜访权限,并展开了全面查询。由于咱们的分层操控环境,没有资金丢失,也没有泄露客户信息。整理作业相对迅速,但仍然有很多经验教训需求学习。
任何人都或许会遭到交际工程进犯
人类是交际动物。咱们期望相处和谐,期望成为团队的一份子。假如你以为你不或许被一个精心策划的交际工程进犯诈骗,那你就在诈骗自己。在适宜的状况下,简直任何人都或许成为受害者。
最难抵挡的进犯是直接接触的交际工程进犯,就像咱们的职工在这里遭受的进犯相同。进犯者直接经过交际媒体、你的手机,甚至更糟的是,走进你的家或商业场所与你联络。这些进犯并不新鲜。事实上,自人类的早期,这种进犯就一直在产生。这是进犯者的一种最喜欢的策略,由于它行之有效。
那么咱们该怎么办呢?如何避免这种状况产生?
我想说这只是一个训练问题。客户、职工和每个人都需求接受更好的训练,他们需求做得更好。这种说法总是有必定的道理。但作为网络安全专业人士,这不能成为咱们每次遇到这种状况时的借口。研究一次又一次地标明,一切人终究都或许被诈骗,无论他们多么警觉、娴熟和预备。咱们必须一直从坏事会产生的前提动身。咱们需求不断创新,以削弱这些进犯的效果,一起尽力提高咱们的客户和职工的整体体会。
你能同享一些战术、技能和程序(TTP)吗?
当然能够。考虑到这个进犯者正在针对广泛的公司,咱们期望每个人都知道咱们所知道的内容。以下是咱们建议你在企业日志/安全信息与事情办理系统(SIEM)中查找的一些特定事项:
从你的技能资产到以下地址的任何网页流量,其间 * 表明你的公司或安排称号:
● sso-*.com
● *-sso.com
● login.*-sso.com
● dashboard-*.com
● *-dashboard.com
以下远程桌面查看器的任何下载或测验下载:
● AnyDesk (anydesk dot com)
● ISL Online (islonline dot com)
任何经过第三方 VPN 服务供给商(特别是Mullvad VPN)测验拜访您的安排的行为。
以下服务供给商的来电/短信:
● Google Voice
● Skype
● Vonage / Nexmo
● Bandwidth dot com
任何测验安装以下浏览器扩展程序的意外行为:
● EditThisCookie
作为网络防御者,您应该预期看到运用偷盗的凭证、Cookie 或其他会话令牌从 VPN 服务(例如Mullvad)测验登录企业应用程序的行为。还或许测验列举面向客户支撑的应用程序,例如客户关系办理(CRM)应用程序或职工目录应用程序。您还或许看到测验将基于文本的数据复制到免费的文本或文件同享服务(例如riseup.net)的行为。
这样的状况谈论起来从未轻松。关于职工来说,这是令人为难的;关于网络安全专业人士和办理层来说,这是令人沮丧的。关于一切人来说,这都是令人沮丧的。但作为一个社区,咱们需求愈加公开地评论这样的问题。假如你是 Coinbase 的客户,必定要对任何要求你供给个人信息的人持怀疑态度。永久不要同享你的凭证,永久不要允许任何人远程拜访你的个人设备,并启用可用的最强身份验证方式。关于你的 Coinbase 账户,考虑运用物理安全令牌来拜访你的账户。假如你不常常买卖,请考虑运用咱们的 Coinbase Vault 解决方案为你的资产供给额定的维护层。
假如你是 Coinbase 或任何其他具有在线存在的公司的职工,你将会遭到进犯。坚持警惕,特别是当有人打电话或联络你时。一个简单的最佳实践是挂断电话,运用可信的电话号码或公司谈天技能寻求协助。永久不要与或向首次联络你的人供给信息或登录信息。
假如你是一名网络安全专业人士,咱们知道坏人总是会做坏事。但咱们也应该记住好人也会犯错,咱们最好的安全操控有时或许会失效。最重要的是,咱们应该一直乐意学习和尽力变得更好。咱们都是人类。这是一个(期望)永久不会改变的恒定要素。
坚持安全!
此时快讯
【马斯克测试X(原Twitter)视频游戏流媒体】金色财经报道,X(原Twitter)的马斯克在该平台上测试视频游戏流媒体后,又向成为“一切应用程序”迈出了一步。
在10月6日长达50分钟的直播中,马斯克直播了自己玩在线动作角色扮演游戏《暗黑破坏神4》的过程。马斯克在直播中表示,X计划将流媒体服务与Xbox和PS5集成,但没有计划尝试比专门的流媒体平台更好。