tronlink钱包下载iOS|电影是真的》Coinbase自曝骇客如何通过「社交工程」渗透攻击？ | 动区动趋-最具影响力的区块链新闻媒体

美国最大加密货币交易所 Coinbase 在一篇官网公告中分享了自身受攻击的案例，揭示了骇客对其发动攻击的全过程。本文源自 Coinbase 撰写的《Social Engineering —— A Coinbase Case Study》，由 编译、整理及撰写。 （前情提要： Coinbase国际交易所将开启「永续合约交易」，抢攻加密衍生品市场） （背景补充： Coinbase获新加坡金管局「支付机构执照」COIN涨超5%，但方舟投资持续减持）

本文目录

• 骇客如何发起攻击？
• 任何人都可能会受到社交工程攻击
• 那么我们该怎么办呢？如何防止这种情况发生？
• 你能分享一些战术、技术和程式（TTP）吗？

我们（Coinbase）最近经历了一次网路安全攻击，该攻击针对其中一名员工。幸运的是，Coinbase 的网路安全控制措施阻止了攻击者直接访问系统，并防止了任何资金损失或客户资讯洩露。

仅有一部分来自公司目录的资料被洩露。Coinbase 坚信透明度，我们希望我们的员工、客户和社群了解这次攻击的细节，并分享此攻击者使用的战术、技术和程式（TTP），以便每个人都可以更好地保护自己。

Coinbase 的客户和员工经常成为诈骗分子的目标。原因很简单，任何形式的货币，包括加密货币，都是网路犯罪分子追逐的目标。本文我们将讨论一个实际的网路攻击和相关的网路事件，我非常高兴地说，在这种情况下没有客户资金或客户资讯受到影响，但仍有宝贵的经验教训可以学习。

我们的故事始于 2023 年 2 月 5 日星期日的晚些时候。几部员工手机开始发出简讯警报，表明他们需要通过提供的连结紧急登入以接收重要资讯。

虽然大多数人忽略了这个未经提示的讯息，但一名员工认为这是一条重要的讯息，点选了连结并输入了他们的使用者名称和密码，在 「登入」 后，该员工被提示忽略该讯息，并感谢其遵守要求。

骇客如何发起攻击？

接下来发生的事情是，攻击者利用合法的 Coinbase 员工使用者名称和密码，多次试图远端访问 Coinbase。

幸运的是，我们的网路安全控制系统做好了準备，攻击者无法提供所需的多重身份认证（MFA）凭据，因此被阻止进入。在许多情况下，这就是故事的结束。但这不是一名普通的攻击者，我们认为这个人与一场高度持久和複杂的攻击活动有关，自去年以来一直在针对许多公司。

大约 20 分钟后，我们的员工的手机响了。攻击者声称来自 Coinbase 公司的资讯技术部，需要员工的帮助。由于该员工相信自己在与一名合法的 Coinbase IT 工作人员交谈，该员工登入其工作站并开始按照攻击者的指示操作。

这开始了攻击者和越来越怀疑的员工之间的一来一回。随着谈话的进行，请求变得越来越可疑。幸运的是，没有取走任何资金，也没有访问或检视任何客户资讯，但一些我们员工的有限联络资讯被获取，包括员工姓名、电子邮件地址和一些电话号码。

我们的电脑保安事件响应团队（CSIRT）在攻击发生的头 10 分钟内就掌握了此问题，我们的安全事件和管理系统提示我们存在异常活动。

此后不久，我们的事件处理者通过内部 Coinbase 讯息系统联络受害者，询问与其帐户相关的一些异常行为和使用模式，员工意识到有严重的问题后，立刻终止了与攻击者的所有通讯。

我们的 CSIRT 团队立即暂停了受害员工的所有访问许可权，并展开了全面调查。由于我们的分层控制环境，没有资金损失，也没有洩露客户资讯。清理工作相对迅速，但仍然有很多经验教训需要学习。

任何人都可能会受到社交工程攻击

人类是社交动物。我们希望相处融洽，希望成为团队的一份子。如果你认为你不可能被一个精心策划的社交工程攻击欺骗，那你就在欺骗自己。在合适的情况下，几乎任何人都可能成为受害者。

最难抵御的攻击是直接接触的社交工程攻击，就像我们的员工在这里遭受的攻击一样。攻击者直接通过社交媒体、你的手机，甚至更糟的是，走进你的家或商业场所与你联络。

这些攻击并不新鲜。事实上，自人类的早期，这种攻击就一直在发生。这是攻击者的一种最喜欢的策略，因为它行之有效。

那么我们该怎么办呢？如何防止这种情况发生？

我想说这只是一个培训问题。客户、员工和每个人都需要接受更好的培训，他们需要做得更好。

这种说法总是有一定的道理。但作为网路安全专业人士，这不能成为我们每次遇到这种情况时的藉口。研究一次又一次地表明，所有人最终都可能被欺骗，无论他们多么警觉、熟练和準备。

我们必须始终从坏事会发生的前提出发。我们需要不断创新，以削弱这些攻击的效果，同时努力提高我们的客户和员工的整体体验。

你能分享一些战术、技术和程式（TTP）吗？

当然可以。考虑到这个攻击者正在针对广泛的公司，我们希望每个人都知道我们所知道的内容。以下是我们建议你在企业日誌 / 安全资讯与事件管理系统（SIEM）中查询的一些特定事项：

从你的技术资产到以下地址的任何网页流量，其中 * 表示你的公司或组织名称：

●sso-*.com

●*-sso.com

●login.*-sso.com

●dashboard-*.com

●*-dashboard.com

以下远端桌面检视器的任何下载或尝试下载：

●AnyDesk (anydesk dot com)

●ISL Online (islonline dot com)

任何通过第三方 VPN 服务提供商（特别是 Mullvad VPN）尝试访问您的组织的行为。

以下服务提供商的来电 / 简讯：

●Google Voice

●Skype

●Vonage / Nexmo

●Bandwidth dot com

任何尝试安装以下浏览器扩充套件程式的意外行为：

●EditThisCookie

作为网路防御者，您应该预期看到使用盗窃的凭据、Cookie 或其他会话代币从 VPN 服务（例如 Mullvad）尝试登入企业应用程式的行为。还可能尝试列举面向客户支援的应用程式，例如客户关係管理（CRM）应用程式或员工目录应用程式。您还可能看到尝试将基于文字的资料複製到免费的文字或档案共享服务（例如 riseup.net）的行为。

这样的情况谈论起来从未轻鬆。对于员工来说，这是令人尴尬的；对于网路安全专业人士和管理层来说，这是令人沮丧的；对于所有人来说，这都是令人沮丧的。

但作为一个社群，我们需要更加公开地讨论这样的问题。如果你是 Coinbase 的客户，一定要对任何要求你提供个人资讯的人持怀疑态度。永远不要共享你的凭据，永远不要允许任何人远端访问你的个人装置，并启用可用的最强身份验证方式。对于你的 Coinbase 帐户，考虑使用物理安全代币来访问你的帐户。如果你不经常交易，请考虑使用我们的 Coinbase Vault 解决方案为你的资产提供额外的保护层。

如果你是 Coinbase 或任何其他拥有线上存在的公司的员工，你将会受到攻击。保持警惕，特别是当有人打电话或联络你时。一个简单的最佳实践是结束通话电话，使用可信的电话号码或公司聊天技术寻求帮助。永远不要与或向首次联络你的人提供资讯或登入资讯。

如果你是一名网路安全专业人士，我们知道坏人总是会做坏事。但我们也应该记住好人也会犯错，我们最好的安全控制有时可能会失效。最重要的是，我们应该始终愿意学习和努力变得更好。我们都是人类。这是一个（希望）永远不会改变的恆定因素。

保持安全！