Coinbase hat Phishing-Angriff abgewehrt

Das Sicherheitsteam von Coinbase hat offengelegt, wie sie einem ausgeklügelten Phishing-Angriff entgegengewirkt haben, der darauf abzielt, private Schlüssel und Passwörter zu filtern.

In einem am 8. August veröffentlichten Blogbeitrag erläuterte die Börse ihre Entdeckung und Berichterstattung über den Vorfall, bei dem zwei 0-Day-Sicherheitslücken in Mozillas Webbrowser Firefox ausgenutzt wurden.

Ein „zielgerichteter und durchdachter“ Angriff

Die ersten Schritte des Phishing-Betrugs, so Coinbase, gingen auf Ende Mai dieses Jahres zurück, als mehr als ein Dutzend Mitarbeiter E-Mail von einem "Research Grants Administrator" der Universität Cambridge erhielten. Die Email stammte aus einer legitimen akademischen Domäne in Cambridge und blieb somit vom Sicherheitsfilter unberührt – wie auch ähnliche nachfolgende E-Mails.

Die Taktik der E-Mails änderte sich jedoch Mitte Juni: Diesmal enthielt die Korrespondenz eine URL, die beim Öffnen in Firefox Malware auf dem Computer des Empfängers installieren konnte.

Coinbase stellt fest, dass diese E-Mail innerhalb weniger Stunden nach Erhalt erfolgreich erkannt wurde und mit anderen Organisationen zusammengearbeitet hat, um dem Angriff entgegenzuwirken. Zum Zeitpunkt des Vorfalls hatte die Börse betont, dass sie keine Hinweise gefunden habe, dass der Angriff Auswirkungen auf die Coinbase-Kunden habe.

Insgesamt wurden über 200 Personen in mehreren – nicht genannten – Organisationen neben Coinbase als Zielgruppe ermittelt.

Wichtigste Schlussfolgerung

Coinbase stellt fest, dass die Angreifer auf den richtigen Zeitpunkt gewartet haben und mehrere legitim anmutende E-Mails von manipulierten akademischen Accounts senden, die sich alle auf reale akademische Ereignisse bezogen und eng auf die spezifischen Profile von Phishing-Zielen zugeschnitten waren. Nach diesen Korrespondenzrunden versuchten sie, nur 2,5% der Ziele mit der URL zu infizieren.

Zeitleiste für die Sicherheitsantwort von Coinbase.

Zeitleiste für die Sicherheitsantwort von Coinbase. Quelle: Coinbase Blog

Die Börse gab bekannt, dass sobald ein Mitarbeiter und automatische Benachrichtigungen die verdächtige E-Mail Mitte Juni meldeten, schnell einen Weg gefunden hatte, der Bedrohung entgegenzuwirken, indem es den 0-Day von der Phishing-Site erfasste, während diese noch aktiv und in Betrieb war. Auf diese Weise sollte die Antwort des Programms von die Angreifern abgeschirmt werden. Der Blogbeitrag fügt hinzu:

„Wir haben auch alle Anmeldeinformationen auf dem Computer widerrufen und alle Konten des betroffenen Mitarbeiters gesperrt. Sobald wir uns sicher waren, dass wir eine Quarantänezone eingerichtet hatten, wandten wir uns an das Mozilla-Sicherheitsteam und den Exploit-Code für diesen Angriff weitergegeben. “

Mozilla seinerseits hat eine der beiden Sicherheitslücken am nächsten Tag und die zweite innerhalb derselben Woche behoben.

Im vergangenen Monat berichtete Cointelegraph über die Verhaftung eines israelischen Bürgers, der angeblich Kryptowährung im Wert von 1,7 Milliarden US-Dollar über eine Phishing-Kampagne gegen europäische Nutzer erbeutet hatte.