比特币基地最近经历了一次针对其员工的网络安全攻击。幸运的是,比特币基地的网络安全控制措施阻止了攻击者直接访问系统,防止了任何资金损失或客户信息泄露。我们公司目录中只有一部分数据被泄露。比特币基地坚信透明,我们希望我们的员工、客户和社区了解这次袭击的细节,分享这次袭击者使用的战术、技术和程序(TTP),让大家更好地保护自己。
比特币基地的客户和员工经常成为欺诈者的目标。原因很简单。任何形式的货币,包括加密货币,都是网络犯罪分子追逐的目标。很容易理解为什么这么多攻击者不断寻找快速获利的方法。
应对如此多的攻击者和网络安全挑战是我认为比特币基地是一个有趣的工作场所的原因之一。在本文中,我们将讨论一个实际的网络攻击和相关的网络事件,这是我们最近在比特币基地处理的。虽然我很高兴地说,在这种情况下,没有客户资金或客户信息受到影响,但仍然有宝贵的教训值得学习。在比特币基地,我们相信透明度。通过公开谈论这种安全问题,我相信我们可以使整个社区更加安全,更加有安全意识。
我们的故事开始于2023年2月5日星期日的深夜。几个员工的手机开始发出短信提醒,表示需要通过提供的链接紧急登录,接收重要信息。虽然大多数人忽略了这条未说出口的消息,但一名员工认为这是一条重要的法律消息,点击了链接,并输入了他们的用户名和密码。“登录”后,员工被提示忽略该消息,并感谢他的配合。
接下来发生的事情是,攻击者试图使用比特币基地员工的合法用户名和密码多次远程访问比特币基地。幸运的是,我们的网络安全控制系统已经准备就绪。攻击者无法提供所需的多因素身份验证(MFA)凭据,因此被阻止进入。很多时候,这就是故事的结局。但这不是普通的攻击者。我们认为此人与一次高度持续和复杂的攻击有关,该攻击自去年以来一直针对许多公司。
大约20分钟后,我们员工的手机响了。攻击者自称来自比特币基地信息技术部,他们需要员工的帮助。该员工认为他正在与一名合法的比特币基地IT员工交谈,于是登录到他的工作站,并开始按照攻击者的指示进行操作。这开始了攻击者和越来越怀疑的员工之间的一轮攻击。随着谈话的进行,这个要求变得越来越可疑。幸运的是,我们没有提取任何资金,也没有访问或查看任何客户信息,但获得了一些有限的员工联系方式,包括员工姓名、电子邮件地址和一些电话号码。
幸运的是,我们的计算机安全事件响应小组(CSIRT)在攻击的前10分钟内就解决了这个问题。我们的安全事件和管理系统会提醒我们注意异常活动。此后不久,我们的事件响应人员通过比特币基地内部消息系统联系了受害者,询问了一些与他们的帐户相关的异常行为和使用模式。当该员工意识到存在严重问题时,他立即终止了与攻击者的所有沟通。
我们的CSIRT团队立即暂停了受伤员工的所有访问权限,并展开了全面调查。由于我们的分级控制环境,没有资金损失,没有客户信息泄露。清理工作相对迅速,但仍有许多教训需要吸取。
任何人都可能被社会工程攻击。
人类是群居动物。我们想好好相处,成为团队的一员。如果你认为你不会被精心策划的社会工程攻击所欺骗,那你就是在欺骗自己。在适当的情况下,几乎任何人都可能成为受害者。
最难抵御的攻击是直接接触的社会工程攻击,就像我们这里的员工遭受的攻击一样。攻击者通过社交媒体、你的手机直接联系你,或者更糟糕的是,走进你的家或工作场所。这些袭击并不新鲜。事实上,这种攻击从人类早期就一直在发生。这是攻击者最喜欢的策略,因为它很有效。
那么我们该怎么办呢?如何防止这种情况发生?
我想说,这只是一个训练问题。客户、员工和每个人都需要更好的培训,他们需要做得更好。这种说法总有一定的道理。但作为网络安全专业人士,这不能成为我们每次遇到这种情况的借口。研究一次又一次地表明,所有人最终都可能被欺骗,不管他们有多警觉、多熟练、多有准备。我们必须始终从坏事会发生这一前提出发。我们需要不断创新来削弱这些攻击的影响,并努力改善我们的客户和员工的整体体验。
你能分享一些战术、技术和程序吗(TTP)?
当然了。考虑到这个攻击者的目标是广泛的公司,我们希望每个人都知道我们所知道的。以下是我们建议您在企业日志/安全信息和事件管理系统(SIEM)中查找的一些具体内容:
从您的技术资产到以下地址的任何web流量,其中*代表您的公司或组织的名称:
●sso-*。com
●*-sso.com
●登录。*-sso.com
●仪表板-*。com
●*-dashboard.com
以下远程桌面查看器的任何下载或尝试下载:
●any desk(any desk . com)
●ISL Online(ISL Online . com)
通过第三方VPN服务提供商(尤其是Mullvad VPN)访问您的组织的任何尝试。
来自以下服务提供商的来电/短信:
●谷歌语音
●Skype
●Vonage / Nexmo
●带宽点com
尝试安装以下浏览器扩展时的任何意外行为:
●编辑ThisCookie
作为一名网络维护者,您应该会看到有人试图使用* *凭证、Cookie或其他会话令牌从VPN服务(如Mullvad)登录到企业应用程序。您还可以尝试列出面向客户的支持应用程序,如客户关系管理(CRM)应用程序或员工目录应用程序。你也可能会看到将基于文本的数据导入免费文本或文件共享服务(如riseup.net)的尝试。
这样的情况从来都不是好谈的。对于员工来说,这是尴尬的;对于网络安全专业人员和管理人员来说,这是令人沮丧的。对每个人来说,这是令人沮丧的。但是作为一个社区,我们需要更公开地讨论这些问题。如果你是比特币基地的客户,一定要对任何要求你提供个人信息的人保持怀疑。绝不共享您的凭据,绝不允许任何人远程访问您的个人设备,并启用可用的最强身份验证方法。对于您的比特币基地帐户,请考虑使用物理安全令牌来访问您的帐户。如果您不经常交易,请考虑使用我们的比特币基地金库解决方案,为您的资产提供额外的保护。
如果你是比特币基地或任何其他在线公司的员工,你会受到攻击。保持警惕,尤其是有人打电话或联系你的时候。一个简单的最佳实践是挂断电话,使用可信的电话号码或公司聊天技术寻求帮助。切勿向第一次联系您的人提供信息或登录信息。
如果你是网络安全专业人士,我们知道坏人总是做坏事。但我们也应该记住,好人也会犯错,我们最好的安全控制有时可能会失败。最重要的是,我们应该永远愿意学习,努力变得更好。我们都是人。这是一个不变的因素,(希望)永远不会改变。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"黑客网络sequencer,黑客最常用的社交工程形式":http://www.ljycsb.cn/qukuailian/208133.html。
微信扫描二维码投放广告
▲长按图片识别二维码
