Coinbase员工遭到黑客的钓鱼+社工 不过基本没泄露什么数据
美国加密货币交易所 Coinbase 日前发布消息称,在 2 月 5 日该交易所员工遭到黑客的攻击,所幸 Coinbase 安全机制及时检测到异常并通知安全团队,因此这次网络攻击只造成部分员工的姓名和电子邮件以及少量电话号码泄露,没有客户的数据在攻击中泄露。
值得注意的是这次黑客不仅采用钓鱼,甚至还动用了社工手段,提前获得了 Coinbase 员工的个人信息,然后打电话过来忽悠。
最初黑客发送短信给 Coinbase 的几名目标员工,告诉他们登录公司账户查看重要消息,然后有一名员工上当点击了黑客的链接,并在钓鱼网站上输入了账号和密码。
输入账号和密码 “登录” 成功后,钓鱼网站弹出提示称员工可以忽略这条信息,感谢他遵守规定。
接下来黑客反复尝试使用账号密码远程访问 Coinbase,但 Coinbase 员工账户都是采用 2FA 验证的,因此没有 2FA 验证码是无法登录的。
遇到这种情况的黑客并没有放弃,而是直接打电话冒充 Coinbase 信息技术团队的员工,要求这名员工登录到其账号并接受指示。随着黑客提出的要求的增多,这名员工越来越怀疑这其中有诈,随后 Coinbase 真正的安全团队介入并找到这名员工,同时切断黑客的所有访问。
Coinbase 并没有透露黑客要员工进行哪些操作,不过 Coinbase 提醒其他公司要提防员工被安装远程控制软件例如 AnyDesk 或 ISL Online,还要提防被安装名为 EditThisCookie 的 Chrome 扩展程序。
EditThisCookie 是个正常的扩展程序,猜测是黑客想要受害者安装该扩展并登录账号然后将 Cookie 发送给黑客,这样不需要账号密码黑客也可以登录账号。
不过 Coinbase 并没有透露既然黑客没有登录账号那为何有少部分数据泄露,要么 Coinbase 指的是在攻击发生前部分员工的信息就已经泄露。
PS:这黑客也是有意思,都知道打电话忽悠,难道不知道 Coinbase 员工账户都是采用 2FA 的么?钓鱼的时候竟然没要求同步输入 2FA 代码。