概述Coinbase 最近经历了一次网络安全攻击，攻击针对其中一名员工。幸运的是，Coinbase 的网络安全控制措施阻止了攻击者直接访问系统，并防止了任何资金损失或客户信息泄露。仅有一部分来自我们的公司目录的数据被泄露。Coinbase 坚信透明度，我们希望我们的员工、客户和社区了解这次攻击的细节，并分享此攻击者使用的战术、技术和程序（TTP），以便每个人都可以更好地保护自己。# j; l7 }5 N; {' G1 K9 e1 l
Coinbase 的客户和员工经常成为诈骗分子的目标。原因很简单，任何形式的货币，包括加密货币，都是网络犯罪分子追逐的目标。很容易理解为什么这么多攻击者不断寻找快速获利的途径。
, O" w+ L' l8 P$ E/ M2 ?应对如此众多的攻击者和网络安全挑战是我认为 Coinbase 是一个有趣的工作场所的原因之一。在本文中，我们将讨论一个实际的网络攻击和相关的网络事件，这是我们最近在 Coinbase 处理的。虽然我非常高兴地说，在这种情况下没有客户资金或客户信息受到影响，但仍有宝贵的经验教训可以学习。在 Coinbase，我们相信透明度。通过公开谈论这样的安全问题，我相信我们可以使整个社区更加安全和更加安全意识。
! L5 ^) J9 M2 a我们的故事始于 2023 年 2 月 5 日星期日的晚些时候。几部员工手机开始发出短信警报，表明他们需要通过提供的链接紧急登录以接收重要信息。虽然大多数人忽略了这个未经提示的消息，但一名员工认为这是一条重要的合法消息，点击了链接并输入了他们的用户名和密码。在“登录”后，该员工被提示忽略该消息，并感谢其遵守。
0 P  ]. N1 x8 S0 |3 S+ C: @接下来发生的事情是，攻击者利用合法的 Coinbase 员工用户名和密码，多次试图远程访问 Coinbase。幸运的是，我们的网络安全控制系统做好了准备。攻击者无法提供所需的多重身份认证（MFA）凭据，因此被阻止进入。在许多情况下，这就是故事的结束。但这不是一名普通的攻击者。我们认为这个人与一场高度持久和复杂的攻击活动有关，自去年以来一直在针对许多公司。' Y0 R6 O; S: [6 s+ r$ [
大约 20 分钟后，我们的员工的手机响了。攻击者声称来自 Coinbase 公司的信息技术部，他们需要员工的帮助。由于相信自己在与一名合法的 Coinbase IT 工作人员交谈，该员工登录其工作站并开始按照攻击者的指示操作。这开始了攻击者和越来越怀疑的员工之间的一来一回。随着谈话的进行，请求变得越来越可疑。幸运的是，没有取走任何资金，也没有访问或查看任何客户信息，但一些我们员工的有限联系信息被获取，包括员工姓名、电子邮件地址和一些电话号码。+ H$ S/ l9 d* V/ S8 Y) m
幸运的是，我们的计算机安全事件响应团队（CSIRT）在攻击发生的头 10 分钟内就掌握了此问题。我们的安全事件和管理系统提示我们存在异常活动。此后不久，我们的事件响应者通过内部 Coinbase 消息系统联系受害者，询问与其账户相关的一些异常行为和使用模式。员工意识到有严重的问题后，立刻终止了与攻击者的所有通信。
. L) c2 I# p1 r0 F/ `3 O9 I我们的 CSIRT 团队立即暂停了受害员工的所有访问权限，并展开了全面调查。由于我们的分层控制环境，没有资金损失，也没有泄露客户信息。清理工作相对迅速，但仍然有很多经验教训需要学习。( H0 B5 U( `( a+ a3 A) m( j" \
任何人都可能会受到社交工程攻击人类是社交动物。我们希望相处融洽，希望成为团队的一份子。如果你认为你不可能被一个精心策划的社交工程攻击欺骗，那你就在欺骗自己。在合适的情况下，几乎任何人都可能成为受害者。$ O! S( y1 E, z8 H
最难抵御的攻击是直接接触的社交工程攻击，就像我们的员工在这里遭受的攻击一样。攻击者直接通过社交媒体、你的手机，甚至更糟的是，走进你的家或商业场所与你联系。这些攻击并不新鲜。事实上，自人类的早期，这种攻击就一直在发生。这是攻击者的一种最喜欢的策略，因为它行之有效。
% @! S9 L: F8 ]: o3 u那么我们该怎么办呢？如何防止这种情况发生？我想说这只是一个培训问题。客户、员工和每个人都需要接受更好的培训，他们需要做得更好。这种说法总是有一定的道理。但作为网络安全专业人士，这不能成为我们每次遇到这种情况时的借口。研究一次又一次地表明，所有人最终都可能被欺骗，无论他们多么警觉、熟练和准备。我们必须始终从坏事会发生的前提出发。我们需要不断创新，以削弱这些攻击的效果，同时努力提高我们的客户和员工的整体体验。
5 e- H, M) ~# S! k# T你能分享一些战术、技术和程序（TTP）吗？当然可以。考虑到这个攻击者正在针对广泛的公司，我们希望每个人都知道我们所知道的内容。以下是我们建议你在企业日志/安全信息与事件管理系统（SIEM）中查找的一些特定事项：
7 L7 N$ V  X8 U$ F2 d! N7 U; r从你的技术资产到以下地址的任何网页流量，其中 * 表示你的公司或组织名称：
& l3 D* a; h; \. P8 I8 ~+ l4 C● sso-*.com# L! X, t  ^! F* {. S% ]
● *-sso.com9 [( ?. t/ Q/ b+ F! t! c$ Q
● login.*-sso.com
! T* `) \9 u; |2 m, m● dashboard-*.com/ {! e- F! |: D& c1 X1 q8 p
● *-dashboard.com
1 B. R% r$ T# d; u; T以下远程桌面查看器的任何下载或尝试下载：& z0 L* Q# M7 d2 I* X
● AnyDesk (anydesk dot com)5 ?, R9 L" @4 u
● ISL Online (islonline dot com)! L9 ]+ O" W- ~1 U0 m
任何通过第三方 VPN 服务提供商（特别是Mullvad VPN）尝试访问您的组织的行为。
: F: ]" t( E/ l5 @9 C3 R以下服务提供商的来电/短信：
  ~8 I7 P9 P' }3 [, T● Google Voice
# {" k0 }$ R- W1 E# ?● Skype& _  V  l' v3 x. ^. q; f( L
● Vonage / Nexmo) V9 m! U3 S1 Z4 |
● Bandwidth dot com
. t0 [, K! n8 M. L) N/ P# T任何尝试安装以下浏览器扩展程序的意外行为：; f) F2 F1 a4 c7 h
● EditThisCookie, y9 {+ @  Y0 R" r: W
作为网络防御者，您应该预期看到使用盗窃的凭据、Cookie 或其他会话令牌从 VPN 服务（例如Mullvad）尝试登录企业应用程序的行为。还可能尝试列举面向客户支持的应用程序，例如客户关系管理（CRM）应用程序或员工目录应用程序。您还可能看到尝试将基于文本的数据复制到免费的文本或文件共享服务（例如riseup.net）的行为。
$ F# ^1 p! G1 x  ?. a这样的情况谈论起来从未轻松。对于员工来说，这是令人尴尬的；对于网络安全专业人士和管理层来说，这是令人沮丧的。对于所有人来说，这都是令人沮丧的。但作为一个社区，我们需要更加公开地讨论这样的问题。如果你是 Coinbase 的客户，一定要对任何要求你提供个人信息的人持怀疑态度。永远不要共享你的凭据，永远不要允许任何人远程访问你的个人设备，并启用可用的最强身份验证方式。对于你的 Coinbase 账户，考虑使用物理安全令牌来访问你的账户。如果你不经常交易，请考虑使用我们的 Coinbase Vault 解决方案为你的资产提供额外的保护层。7 U  q# }) L: T5 s) }3 S" |# f
如果你是 Coinbase 或任何其他拥有在线存在的公司的员工，你将会受到攻击。保持警惕，特别是当有人打电话或联系你时。一个简单的最佳实践是挂断电话，使用可信的电话号码或公司聊天技术寻求帮助。永远不要与或向首次联系你的人提供信息或登录信息。
5 }' r1 u% A: C5 i" G9 {2 L3 H# }如果你是一名网络安全专业人士，我们知道坏人总是会做坏事。但我们也应该记住好人也会犯错，我们最好的安全控制有时可能会失效。最重要的是，我们应该始终愿意学习和努力变得更好。我们都是人类。这是一个（希望）永远不会改变的恒定因素。0 \. V$ L, Q+ R* u# P1 v2 P
保持安全！