Al explotar una falla en el sistema de autenticación de múltiples factores, un pirata informático o un grupo de ellos logró infiltrarse en las cuentas y robar criptomonedas de alrededor de 6,000 clientes de Coinbase.
Un sofisticado ataque masivo de ingeniería social se dirigió a los usuarios del intercambio entre marzo y mayo de este año, como fue revelado en una carta de notificación de incumplimiento enviada hace días por Coinbase a sus clientes afectados. Se publica una copia de la carta en el sitio web del Fiscal General de California.
Terceros no autorizados se aprovecharon de una falla en el sistema de verificación de cuentas de SMS o autenticación de dos factores de la empresa. Así es como los piratas informáticos habrían accedido a las cuentas de los clientes para transferir fondos a carteras controladas por ellos, dijo la empresa.
Sin embargo, para lograr sus objetivos, los atacantes debían tener la dirección de correo electrónico, la contraseña y el número de teléfono del cliente, algo que hasta el momento no está del todo claro cómo sucedió.
En todo caso, Coinbase cree que los piratas informáticos anteriormente habrían tenido como objetivo ataques masivos de suplantación de identidad para robar las credenciales de las cuentas de sus clientes. “Entre finales de abril y principios de mayo de 2021, el equipo de seguridad de Coinbase observó una campaña de suplantación de identidad a gran escala que fue particularmente exitoso en eludir la correo no deseado de ciertos servicios de correo electrónico más antiguos ”, dice la empresa en la carta.
los suplantación de identidad es un método utilizado por actores malintencionados para engañar a los usuarios para que compartan contraseñas, números de tarjetas de crédito y otra información confidencial. En el caso del ataque a los usuarios de Coinbase, los piratas informáticos enviaron correos electrónicos para que los clientes del intercambio pensaran que fueron enviados por la propia empresa.
haga clic en el enlace sin tomarse el tiempo de verificar. Fuente: blog de Coinbase.
Coinbase repone los fondos robados de sus clientes
La autenticación de dos factores generalmente crea una defensa en capas que dificulta que una persona no autorizada obtenga acceso a un objetivo. Sin embargo, Coinbase reconoce que hubo una vulnerabilidad en su sistema de recuperación de cuentas por SMS. Por esta razón los piratas informáticos pudieron obtener el código de autenticación de dos factores necesario para acceder a una cuenta segura.
En un post de su blog oficial, la compañía advierte que los ataques de robo de identidad han aumentado entre sus clientes, logrando “un mayor grado de éxito en eludir los filtros de spam. correo no deseado de ciertos servicios de correo electrónico más antiguos “, dice.
La empresa informa que Los atacantes han estado utilizando una amplia variedad de temas, remitentes y contenido diferentes.. “A veces enviaba múltiples variaciones a las mismas víctimas. Dependiendo de la variante de correo electrónico recibido, también se utilizaron diferentes técnicas para robar credenciales “, agrega.
En la guía de Coinbase sobre protección de cuentas, se recomienda habilitar la autenticación multifactor (MFA) mediante claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto. SMS.
La compañía agrega que se adhirió a los “protocolos de recuperación de cuentas por SMS” para evitar que terceros no autorizados eludan la autenticación multifactor por SMS.
Como el error de Coinbase permitió a los atacantes acceder a lo que se creía que eran cuentas seguras, el intercambio dijo que está reponiendo fondos de las cuentas afectadas en igual proporción a la cantidad robada.
“Financiaremos su cuenta por el valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados. Nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdieron. Deberían ver esto reflejado en su cuenta a más tardar hoy ”, prometió Coinbase en la carta enviada a cada cliente afectado.
No es la primera vez que el intercambio de criptomonedas ha sido atacado por piratas informáticos, ya que hace dos años los piratas informáticos utilizaron una combinación de métodos para intentar engañar a los miembros del personal y acceder a sistemas vitales. Sin embargo, según informó CriptoNoticias, en ese momento la empresa logró frustrar este ataque.
Se presume que el objetivo de ese ataque a Coinbase era obtener algunos de los miles de millones que posee el intercambio de criptomonedas.