A exchange cripto Coinbase (NASDAQ:COIN) sofreu um ataque de segurança cibernética visando seus funcionários em 5 de fevereiro. O ataque ocorreu por meio de golpes de SMS e envolveu falsificações da equipe de TI, de acordo com um relatório recente da equipe de engenharia da empresa. Os fundos ou informações de nenhum cliente foram afetados, disse a empresa.
A Coinbase também é negociada na B3 através do ticker (BOV:C2OI34).
De acordo com o relatório, no final do domingo, vários funcionários da Coinbase receberam mensagens SMS exigindo que eles fizessem login com urgência por meio do link fornecido para acessar uma mensagem importante. Agindo de boa fé, um funcionário seguiu as instruções do explorador:
“Enquanto a maioria ignora esta mensagem não solicitada – um funcionário, acreditando que é uma mensagem importante e legítima, clica no link e digita seu nome de usuário e senha. Após o “login”, o funcionário é solicitado a desconsiderar a mensagem e agradece o cumprimento.”
O perpetrador então fez repetidas tentativas de obter acesso remoto aos sistemas internos da Coinbase com o nome de usuário e a senha do funcionário, mas não conseguiu passar pela medida de segurança de autenticação multifator (MFA).
Após não conseguir autenticar e ser bloqueado automaticamente, o explorador entrou em contato com o funcionário por telefone. De acordo com o relatório, o invasor alegou ser o departamento de TI da Coinbase e pediu ajuda ao funcionário:
“Acreditando que eles estavam falando com um membro legítimo da equipe de TI da Coinbase, o funcionário se conectou em sua estação de trabalho e começou a seguir as instruções do invasor, com perguntas cada vez mais suspeitas.”
A equipe de resposta a incidentes de segurança de computadores da Coinbase (CSIRT) foi alertada sobre uma atividade incomum por seu sistema de gerenciamento de eventos e incidentes de segurança (SIEM). Um respondente do incidente entrou em contato com a vítima por meio do sistema de mensagens interno da empresa em resposta ao comportamento atípico.
“Percebendo que algo estava seriamente errado, o funcionário encerrou todas as comunicações com o invasor”, disse o relatório. De acordo com a Coinbase, seu ambiente de controle em camadas protegeu os fundos e as informações dos clientes, mesmo que algumas das informações de seu pessoal tenham sido comprometidas.
A empresa acredita que o ataque está associado a uma campanha de ataque sofisticada que teve como alvo muitas empresas desde o ano passado, especialmente nos Estados Unidos. A empresa de segurança cibernética Group-IB relatou em agosto de 2022 ataques de phishing semelhantes a funcionários da Twilio e da Cloudflare como parte de uma campanha massiva que terminou com 9.931 contas de mais de 130 organizações comprometidas.
A equipe da Coinbase também observou que seus clientes e funcionários são alvos frequentes de fraudadores, e a solução está em oferecer treinamento adequado:
“Pesquisas mostram repetidas vezes que todas as pessoas podem ser enganadas eventualmente, não importa o quão alertas, habilidosas e preparadas sejam. Devemos sempre trabalhar partindo do pressuposto de que coisas ruins acontecerão. Precisamos estar constantemente inovando para atenuar a eficácia dos ataques, ao mesmo tempo em que nos esforçamos para melhorar a experiência geral de nossos clientes e funcionários.”
Por Ana Paula Pereira