Coinbase: rubate le credenziali di un dipendente

Coinbase ha comunicato di aver rilevato un’intrusione nei sistemi interni da parte di ignoti cybercriminali. Attraverso tecniche di ingegneria sociale è stato contattato un dipendente che ha distrattamente fornito le sue credenziali di login, pensando di parlare con un responsabile IT dell’azienda. Fortunatamente non sono stati compressi i dati degli utenti, né i loro asset digitali.

Furto di credenziali senza conseguenze

Coinbase scrive che l’attacco è stato rilevato il 5 febbraio. Diversi dipendenti hanno ricevuto un SMS che indicava la necessità urgente di effettuare l’accesso all’account aziendale per leggere un importante comunicazione. Un dipendente è caduto nella trappola, inserendo username e password.

I cybercriminali, probabilmente gli stessi della campagna 0ktapus, non sono riusciti ad accedere ai sistemi interni, dato che è attiva l’autenticazione multi-fattore. Dopo circa 20 minuti, uno dei cybercriminali ha telefonato al dipendente, affermando di essere un responsabile IT. In questo modo hanno ottenuto alcune informazioni sui dipendenti, tra cui nomi, indirizzi email e numeri di telefono.

Dopo aver notato strane attività sull’account, il team di sicurezza ha contattato il dipendente tramite messaggistica interna. L’ignara vittima ha quindi capito l’inganno e ha interrotto la comunicazione. Il team ha sospeso tutti gli accessi del dipendente e avviato un’indagine. Coinbase ha confermato che i fondi e le informazioni degli utenti non sono stati compromessi.

L’azienda californiana ha fornito alcuni dettagli sulle tattiche, tecniche e procedure usate durante simili attacchi, suggerendo di adottare una protezione multi-livello. Gli utenti dovrebbero attivare l’autenticazione in due fattori, meglio se tramite app o chiave hardware.