El intercambio de criptomonedas Coinbase experimentó un ataque de ciberseguridad dirigido a sus empleados el 5 de febrero. El ataque se produjo a través de estafas por SMS e involucró suplantaciones de personal de TI, según un informe reciente del equipo de ingeniería de la empresa. No se vieron afectados los fondos o la información de los clientes, dijo la firma.
Según el informe, un domingo por la noche, varios empleados de Coinbase recibieron mensajes SMS que les pedían que iniciaran sesión urgentemente a través del enlace proporcionado para acceder a un mensaje importante. Actuando de buena fe, un empleado siguió las instrucciones del explotador:
“Mientras que la mayoría ignora este mensaje espontáneo, un empleado, creyendo que es un mensaje importante y legítimo, hace clic en el enlace e ingresa su nombre de usuario y contraseña. Después de “iniciar sesión”, se le solicita al empleado que ignore el mensaje y se le agradece por cumplir .”
Luego, el perpetrador hizo repetidos intentos de obtener acceso remoto a los sistemas internos de Coinbase con el nombre de usuario y la contraseña del empleado, pero no pudo pasar por la medida de seguridad de autenticación de múltiples factores (MFA).
Después de no poder autenticarse y ser bloqueado automáticamente, el explotador contactó al empleado por teléfono. Según el informe, el atacante afirmó ser el departamento de TI de Coinbase y le pidió ayuda al empleado:
“Creyendo que estaban hablando con un miembro legítimo del personal de TI de Coinbase, el empleado inició sesión en su estación de trabajo y comenzó a seguir las instrucciones del atacante. Eso comenzó un ir y venir entre el atacante y un empleado cada vez más sospechoso. A medida que avanzaba la conversación, las solicitudes llegaron cada vez más sospechoso”.
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Coinbase fue alertado sobre una actividad inusual por parte de su sistema de Gestión de Incidentes y Eventos de Seguridad (SIEM). Un respondedor de incidentes se acercó a la víctima a través del sistema de mensajería interna de la empresa en respuesta al comportamiento atípico.
“Al darse cuenta de que algo andaba muy mal, el empleado finalizó todas las comunicaciones con el atacante”, dice el informe. Según Coinbase, su entorno de control en capas protegió los fondos y la información de los clientes, a pesar de que parte de la información de su personal se había visto comprometida.
La empresa cree que el ataque está asociado con una sofisticada campaña de ataques que tuvo como objetivo a muchas empresas desde el año pasado, especialmente en los Estados Unidos. La empresa de ciberseguridad Group-IB informó en agosto de 2022 ataques de phishing similares contra empleados de Twilio y Cloudflare como parte de una campaña masiva que terminó con 9931 cuentas de más de 130 organizaciones comprometidas.
El equipo de Coinbase también señaló que sus clientes y empleados son objetivos frecuentes de los estafadores, y la solución radica en ofrecer la capacitación adecuada:
“La investigación muestra una y otra vez que todas las personas pueden ser engañadas eventualmente, sin importar cuán alertas, hábiles y preparadas estén. Siempre debemos trabajar a partir de la suposición de que sucederán cosas malas. Necesitamos innovar constantemente para mitigar la efectividad de estos ataques mientras nos esforzamos por mejorar la experiencia general de nuestros clientes y empleados”.