Targedwyd gweithwyr Coinbase mewn ymosodiad cybersecurity ar Chwefror 5 yn cynnwys sgamiau SMS a dynwarediadau staff TG, yn ôl i adroddiad diweddar gan dîm peirianneg y cwmni. Ni effeithiwyd ar arian na gwybodaeth cwsmeriaid, meddai'r gyfnewidfa crypto.
Yn ôl yr adroddiad, ar ddydd Sul hwyr derbyniodd nifer o weithwyr Coinbase negeseuon SMS yn ei gwneud yn ofynnol iddynt fewngofnodi ar frys trwy'r ddolen a ddarperir i gael mynediad at neges bwysig. Gan weithredu'n ddidwyll, dilynodd un gweithiwr gyfarwyddiadau'r ecsbloetiwr:
“Tra bod y mwyafrif yn anwybyddu'r neges ddigymell hon - mae un gweithiwr, sy'n credu ei bod yn neges bwysig a chyfreithlon, yn clicio ar y ddolen ac yn nodi ei enw defnyddiwr a'i gyfrinair. Ar ôl ‘mewngofnodi’, anogir y gweithiwr i ddiystyru’r neges a diolchir iddo am gydymffurfio.”
Yna gwnaeth y troseddwr ymdrechion dro ar ôl tro i gael mynediad o bell i systemau mewnol Coinbase gydag enw defnyddiwr a chyfrinair y gweithiwr, ond ni allai basio trwy'r mesur diogelwch Dilysu Aml-Ffactor (MFA).
Ar ôl methu â dilysu a chael ei rwystro'n awtomatig, cysylltodd yr ecsbloetiwr â'r gweithiwr dros y ffôn. Yn ôl yr adroddiad, honnodd yr ymosodwr ei fod yn adran TG Coinbase a gofynnodd i'r gweithiwr am gymorth:
“Gan gredu eu bod yn siarad ag aelod dilys o staff TG Coinbase, fe logodd y gweithiwr i mewn i’w weithfan a dechreuodd ddilyn cyfarwyddiadau’r ymosodwr. Dechreuodd hynny yn ôl ac ymlaen rhwng yr ymosodwr a gweithiwr cynyddol amheus. Wrth i’r sgwrs fynd yn ei blaen, aeth y ceisiadau’n fwyfwy amheus.”
Hysbyswyd Tîm Ymateb i Ddigwyddiad Diogelwch Cyfrifiadurol Coinbase (CSIRT) am weithgaredd anarferol gan ei system Rheoli Digwyddiadau a Digwyddiadau Diogelwch (SIEM). Estynnodd ymatebwr digwyddiad at y dioddefwr trwy system negeseuon fewnol y cwmni mewn ymateb i'r ymddygiad annodweddiadol.
“Wrth sylweddoli bod rhywbeth difrifol o’i le, daeth y gweithiwr â’r holl gyfathrebu â’r ymosodwr i ben,” meddai’r adroddiad. Yn ôl Coinbase, roedd ei amgylchedd rheoli haenog yn diogelu arian cwsmeriaid a gwybodaeth, er bod rhywfaint o'i wybodaeth bersonél wedi'i beryglu.
Mae'r cwmni'n credu bod yr ymosodiad yn gysylltiedig ag ymgyrch ymosod soffistigedig sydd wedi targedu llawer o gwmnïau ers y llynedd, yn enwedig yn yr Unol Daleithiau. Cwmni seiberddiogelwch Group-IB Adroddwyd ym mis Awst ymosodiadau gwe-rwydo tebyg ar weithwyr Twilio a Cloudflare fel rhan o ymgyrch enfawr a ddaeth i ben gyda 9,931 o gyfrifon am dros 130 o sefydliadau yn cael eu peryglu.
Nododd tîm Coinbase hefyd fod ei gwsmeriaid a'i weithwyr yn dargedau aml o dwyllwyr, a'r ateb yw cynnig hyfforddiant priodol:
“Mae ymchwil yn dangos dro ar ôl tro y gall pawb gael eu twyllo yn y pen draw, waeth pa mor effro, medrus a pharod ydyn nhw. Rhaid inni weithio bob amser o'r rhagdybiaeth y bydd pethau drwg yn digwydd. Mae angen i ni fod yn arloesi’n barhaus i bylu effeithiolrwydd yr ymosodiadau hyn tra hefyd yn ymdrechu i wella profiad cyffredinol ein cwsmeriaid a’n gweithwyr.”
Ffynhonnell: https://cointelegraph.com/news/coinbase-discloses-recent-cyberattack-targeting-employees