La importante plataforma de trading de criptomonedas Coinbase lleva muy enserio el tema de la seguridad. Los hackers cibernéticos, no obstante, no se dan por vencidos e intentan encontrar alguna brecha que les dé acceso.
Puesto que la tecnología que utilizan no les está permitiendo realizar las acciones pertinentes para llevar a cabo el robo de criptomonedas que idealizan. Estos delincuentes, han demostrado que están intentando que sea un fallo humano el que les permita llevar a cabo su cometido.
Ataque de phishing
Su última estrategia ha consistido en intentar acceder a la plataforma mediante una estafa de SMS dirigida a sus empleados.
A pesar del intento, la compañía ha afirmado que gracias a sus «controles ciberneticos» han conseguido impedir que el hacker «obtuviera acceso directo al sistema. De esta forma, han conseguido evitar que tanto los fondos de sus usuarios como los propios fuesen robados. También se ha mantenido a salvo la información de los clientes.
Aunque Coinbase anunció lo sucedido en su blog el 17 de febrero de 2023, el incidente tuvo lugar algunos días antes, específicamente, el 5 de febrero de 2023.
Aquel día el atacante consiguió acceso a una «cantidad limitada de datos» de sus empleados, nombres, direcciones de correo electrónico y algunos contactos telefónicos.
Etapas del ataque
Los hackers realizaron una campaña de phishing por SMS pidiéndoles que iniciasen sesión en las cuentas de la empresa para poder leer un mensaje importante.
Aunque la mayoría de los empleados ignoraron el mensaje, uno de ellos cayó en el engaño. Clicó sobre el enlace e introdujo su nombre de usuario y contraseña. La página de inicio de sesión falsa guardó las credenciales del trabajador y, tras iniciar sesión, le pidió que ignorase el mensaje al mismo tiempo que le agradeció por la acción realizada.
El siguiente paso del atacante fue el de intentar conseguir acceso remoto a Coinbase una y otra vez.
A pesar de los intentos, las protecciones de autenticación de múltiples factores habilitadas para las cuentas impidieron que las credenciales conseguidas fuesen suficientes para conseguir acceso a Coinbase desde la cuenta del empleado.
No dándose por vencido, el hacker se hizo pasar por un integrante del equipo corporativo de Tecnología Informática (TI) de Coinbase. Llamó al trabajador y, después de hacerle creer que se trataba de un compañero de trabajo de otro departamento, le indicó que debería iniciar sesión en su estación de trabajo siguiendo las instrucciones que le estaba dictando.
Coinbase es alertada
Esto alarmó a la empresa, la cual dice que «comenzó un ir y venir entre el atacante y un empleado cada vez más sospechoso». Coinbase explicó que, » a medida que avanzaba la conversación, las solicitudes se volvieron cada vez más sospechosas«.
En menos de 10 minutos de ataque, Coinbase fue alertada y el sector responsable se comunicó con el empleado víctima del ataque a fin de conocer lo que estaba sucediendo. Este, inmediatamente, cortó toda comunicación con el hacker.
¡Activen alertas!
Coinbase no compartió más detalles sobre el ataque, pero quiso alertar a otras compañías a estar atentas a ataques como este mencionando posibles intentos de instalar software de escritorio remoto como AnyDesl o ISL Online, o una extensión legítima de Google Chrome llamada EditCookie.
La advertencia también mencionó que deberían vigilar con llamadas entrantes y mensajes de texto de proveedores específicos como Google Voice Skype, Vonage/Nexmo y Bandwidth.
Incluso, Coinbase alegó que el ataque posiblemente estuviera relacionado con la sofisticada campaña de phishing conocida como 0ktapus ( conocida también por Scatter Swine). Dicha campaña se lanzó a más de 130 empresas durante el año pasado.
