Konta co najmniej 6000 klientów Coinbase (jednej z najpopularniejszych platform kryptowalut) zostały wyczyszczone z funduszy po tym, jak atakujący ominęli uwierzytelnianie wieloskładnikowe (MFA) giełdy.
Zgodnie z listem wyjaśniającym, który Coinbase wysłał do poszkodowanych klientów i który został złożony w biurze prokuratora generalnego stanu Kalifornia, kradzież miała miejsce między marcem a 20 maja 2021 r. Było to już jakiś czas temu, jednak publicznie informacja ta pojawiła się 1 października.
Atakujący wykorzystali lukę w procesie odzyskiwania konta Coinbase, w celu przejęcia tokenu uwierzytelniania dwuskładnikowego SMS potrzebnego do włamania się na konta klientów i przelania środków do swoich portfeli kryptowalutowych.
Aby to zrobić, sprawcy najpierw potrzebowali dostępu do adresów e-mail, haseł, numerów telefonów i osobistych skrzynek e-mail ofiar. Coinbase nie wie dokładnie, w jaki sposób osoby trzecie uzyskały dostęp do tego wszystkiego, ale giełda nie uważa, że jest winna: „Nie znaleźliśmy żadnych dowodów na to, że te osoby trzecie uzyskały informacje od samego Coinbase”, twierdzi giełda w powiadomieniem o naruszeniu.
Takie informacje musiały zostać zebrane za pomocą ataków phishingowych lub innych technik socjotechnicznych, które nakłaniają ofiary do ujawnienia swoich danych logowania do prywatnych skrzynek e-mail.
Wzrost ataków phishing
W rzeczywistości na początku tego tygodnia, Coinbase ostrzegł, że ataki phishingowe rosną, zarówno pod względem liczby, jak i skuteczności. Między kwietniem a początkiem maja 2021 r. jego zespół ds. bezpieczeństwa odnotował „znaczny wzrost” wiadomości phishingowych sygnowanych marką Coinbase, które były wymierzone w użytkowników wielu powszechnie używanych dostawców usług pocztowych. Ataki te cechowały się wysoką skutecznością i omijały filtry spamowe.
Niektóre z próbek takich wiadomości możemy zobaczyć poniżej:
– Wiadomość phishingowa „Zablokowane konto” mająca na celu zaalarmowanie odbiorcy, aby kliknął w przycisk bez poświęcania czasu na weryfikację innych aspektów wiadomości.
– W przypadku niektórych ofiar z kontami Hotmail osoby atakujące próbowały dodać złośliwą aplikację do skrzynki odbiorczej użytkownika. Jeśli odbiorca kliknie „Tak”, atakujący będzie mógł przeczytać wszystkie wiadomości e-mail użytkownika (w tym wiadomości e-mail dotyczące resetowania hasła i weryfikacji urządzenia wysyłane przez Coinbase). Zauważmy tutaj też manewr zamiany domyślnej kolejności przycisków „No” i „Yes”.
Na podstawie powyższych przykładów widzimy w jaki sposób atakujący prawdopodobnie uzyskali dostęp do prywatnych skrzynek pocztowych użytkowników Coinbase, a dzięki temu mogli przeczytać e-mail resetujący dostęp do konta. Jednak to nie wszystko, bo portale kryptowalut wymuszają stosowanie 2FA (i bardzo dobrze). Tutaj był to token z SMS.
Słabość SMS 2FA
W przypadku klientów, którzy używają SMS-ów do uwierzytelniania dwuskładnikowego (2FA), nieautoryzowane strony trzecie musiały wykorzystać to, co Coinbase nazwał „błędem w procesie odzyskiwania konta z SMS”.
Coinbase nie wszedł w szczegóły dotyczące błędu: powiedział tylko, że gdy tylko dowiedział się o problemie, „zaktualizował protokoły odzyskiwania konta, aby zapobiec dalszemu omijaniu tego procesu uwierzytelniania”.
W przewodniku na temat zabezpieczania kont Coinbase zaleca się włączenie uwierzytelniania MFA za pomocą kluczy bezpieczeństwa lub jednorazowych haseł czasowych (TOTP) z aplikacją uwierzytelniającą (np. Google czy Microsoft Authenticator). Weryfikacja za pomocą wiadomości tekstowych SMS jest wymieniona jako opcja, ale z pewnymi zastrzeżeniami – ta weryfikacja jest mimo wszystko podatna na ataki typu SIM-swap lub phone-port.
SIM-swap, czyli zamiana kart SIM to forma oszustwa, która pozwala hackerom ominąć 2FA oparte na SMS-ach i złamać np. bankowość internetową lub inne konta o wysokiej wartości, takie jak portfele kryptowalut. W typowym scenariuszu atakujący zaczyna od wyłudzenia informacji osobistych i bankowych – często za pośrednictwem phishingu SMS, co ma dodatkową zaletę w postaci potwierdzenia, że numer telefonu komórkowego ofiary jest aktywną linią. Następnie osoba atakująca dzwoni do operatora komórkowego ofiary i przekonuje przedstawiciela serwisu, aby przeniósł ten numer telefonu na inną kartę SIM/urządzenie należące do atakującego. Dalszych kroków można już się domyślić.
Podsumowanie
Coinbase powiedział, że zdeponuje środki z powrotem na konta ofiar, „równe wartości waluty nieprawidłowo usuniętej z konta w momencie incydentu”. Niektórzy klienci otrzymali już zwrot kosztów, podała giełda, obiecując, że klienci otrzymają „pełną wartość tego, co stracili”.
Giełda zapewniła także bezpłatną usługę monitorowania depozytu klientów, których dotknął problem.
Coinbase zachęcił też użytkowników uwierzytelniania opartego na SMS-ach do porzucenia go i zamiast tego używania silniejszego MFA, w tym TOTP lub sprzętowego klucza bezpieczeństwa. Zachęcał również ofiary do zmiany hasła do konta Coinbase na nowe, silne i unikalne.