Retool, известная компания-разработчик программного обеспечения, недавно сообщила, что 27 ее облачных клиентов стали жертвами целенаправленной фишинговой атаки с использованием SMS.
Нарушение вызвало обеспокоенность по поводу безопасности функций облачной синхронизации, в частности облачной синхронизации Google Authenticator.
Retool становится жертвой целенаправленной SMS-фишинговой атаки
Атака 27 августа началась с обманной SMS-фишинговой кампании, направленной против сотрудников Retool. Злоумышленники выдавали себя за членов ИТ-команды и призывали получателей перейти по, казалось бы, законной ссылке, чтобы решить проблему, связанную с расчетом заработной платы. Один сотрудник попался на эту уловку и оказался на поддельной странице входа с формой многофакторной аутентификации, где его учетные данные были украдены.
Получив данные для входа в систему сотрудника, они пошли еще дальше и связались с этим человеком напрямую. Используя передовую технологию дипфейков, они убедительно имитировали голос члена ИТ-команды и обманом заставили сотрудника раскрыть код многофакторной аутентификации.
Ситуация изменилась из-за того, что сотрудник использовал функцию облачной синхронизации Google Authenticator, что позволило злоумышленникам получить доступ к внутренним административным системам. Впоследствии они получили контроль над счетами, принадлежащими 27 клиентам криптовалютной индустрии.
Один из пострадавших клиентов, Fortress Trust, понес существенные убытки: в результате взлома была украдена криптовалюта на сумму около 15 миллионов долларов.
Правительство США предупредило об угрозе Deepfake
Использование технологии дипфейков в этой атаке вызвало обеспокоенность в правительстве США. Недавнее предупреждение предупреждает о потенциальном неправомерном использовании аудио, видео и текстовых дипфейков в вредоносных целях, таких как атаки на компрометацию деловой электронной почты (BEC) и мошенничество с криптовалютой.
Хотя личности хакеров остаются нераскрытыми, применяемая тактика напоминает тактику финансово мотивированного злоумышленника, известного как Scattered Spider, или UNC3944, известного своими изощренными методами фишинга.
Компания Mandiant, занимающаяся кибербезопасностью, поделилась информацией о методах злоумышленников, заявив, что они могли использовать доступ к среде жертвы для усиления своих фишинговых кампаний. Это включало создание новых фишинговых доменов с внутренними системными именами, что наблюдалось в некоторых случаях.
Кодеш подчеркнул важность этого инцидента, подчеркнув риск синхронизации одноразовых кодов с облаком. Это поставило под угрозу фактор «что-то, что есть у пользователя» в многофакторной аутентификации. Он предложил пользователям рассмотреть возможность использования аппаратных ключей безопасности или ключей безопасности, совместимых с FIDO2, для усиления защиты от фишинговых атак.
Источник