La plate-forme d’échange de crypto-monnaie populaire Coinbase a révélé qu’elle avait subi une attaque de cybersécurité qui visait ses employés.
L’entreprise a dit ses « cybercontrôles ont empêché l’attaquant d’accéder directement au système et ont empêché toute perte de fonds ou compromis des informations client ».
L’incident, qui a eu lieu le 5 février 2023, a entraîné l’exposition d’une « quantité limitée de données » de son répertoire, y compris les noms des employés, les adresses e-mail et certains numéros de téléphone.
Dans le cadre de l’attaque, plusieurs employés ont été ciblés par une campagne de phishing par SMS les invitant à se connecter à leur compte d’entreprise pour lire un message important.
Un employé serait tombé dans le piège de l’escroquerie, qui a saisi son nom d’utilisateur et son mot de passe dans une fausse page de connexion mise en place par les acteurs de la menace pour récolter les informations d’identification.
« Après s’être « connecté », l’employé est invité à ignorer le message et remercié de s’être conformé », a déclaré la société. « Ce qui s’est passé ensuite, c’est que l’agresseur […] fait des tentatives répétées pour accéder à distance à Coinbase. »
Ces tentatives de connexion aux systèmes à l’aide des informations d’identification capturées se sont avérées infructueuses en raison des protections d’authentification multifacteur activées pour le compte.
Sans se laisser décourager, l’auteur de la menace a appelé l’employé prétendant appartenir à l’équipe informatique de Coinbase et lui a ordonné de se connecter à son poste de travail et de suivre un ensemble d’instructions.
« Cela a commencé un va-et-vient entre l’attaquant et un employé de plus en plus suspect », a expliqué Coinbase. « Au fur et à mesure que la conversation progressait, les demandes devenaient de plus en plus suspectes. »
La société a déclaré qu’elle avait été alertée dans les 10 premières minutes de l’attaque et que ses intervenants en cas d’incident avaient contacté la victime pour s’enquérir de l’activité suspecte de son compte, incitant la personne à rompre toutes les communications avec l’adversaire.
Coinbase n’a pas précisé les instructions exactes que l’acteur de la menace a données à l’employé, mais a exhorté les autres entreprises à être à l’affût des tentatives potentielles d’installation de logiciels de bureau à distance tels que AnyDesk ou ISL Online ainsi qu’une extension Google Chrome légitime appelée EditThisCookie.
Il a également averti des appels téléphoniques entrants et des SMS provenant de fournisseurs spécifiques tels que Google Voice, Skype, Vonage/Nexmo et Bandwidth.
Coinbase a en outre noté que l’attaque est probablement liée à la campagne de phishing sophistiquée connue sous le nom de 0ktapus (alias Scatter Swine) qui a ciblé plus de 130 entreprises, dont Twilio, Cloudflare, MailChimp et Signal, entre autres, l’année dernière.
