Retool, известная компания-разработчик программного обеспечения, недавно сообщила, что 27 ее облачных клиентов стали жертвами целенаправленной фишинговой атаки на основе SMS.
Нарушение вызвало обеспокоенность по поводу безопасности функций облачной синхронизации, в частности облачной синхронизации Google Authenticator.
Retool становится жертвой целенаправленной SMS-фишинговой атаки
Атака 27 августа началась с обманной SMS-фишинговой кампании, направленной против сотрудников Retool. Злоумышленники выдавали себя за членов ИТ-команды и призывали получателей перейти по, казалось бы, законной ссылке, чтобы решить проблему, связанную с расчетом заработной платы. Один сотрудник попался на эту уловку и оказался на поддельной странице входа с формой многофакторной аутентификации, где его учетные данные были украдены.
После того как они получили данные для входа в систему сотрудника, они пошли еще дальше и связались с ним напрямую. Используя передовую технологию дипфейков, они убедительно имитировали голос члена ИТ-команды и обманом заставили сотрудника раскрыть код многофакторной аутентификации.
Ситуация изменилась из-за того, что сотрудник использовал функцию облачной синхронизации Google Authenticator, что позволило злоумышленникам получить доступ к внутренним административным системам. Впоследствии они получили контроль над счетами, принадлежащими 27 клиентам криптовалютной индустрии.
Один из пострадавших клиентов, Fortress Trust, понес существенные убытки: в результате взлома была украдена криптовалюта на сумму около 15 миллионов долларов США.
Правительство США предупредило об угрозе дипфейков
Использование технологии дипфейков в этой атаке вызвало обеспокоенность в правительстве США. В недавнем сообщении содержится предупреждение о потенциальном неправомерном использовании аудио-, видео- и текстовых дипфейков в вредоносных целях, таких как атаки на компрометацию корпоративной электронной почты (BEC) и мошенничество с криптовалютой.
Хотя личности хакеров остаются нераскрытыми, применяемая тактика напоминает тактику финансово мотивированного злоумышленника, известного как Scattered Spider (UNC3944), известного своими изощренными методами фишинга.
Компания, занимающаяся кибербезопасностью, Mandiant поделилась информацией о методах злоумышленников, заявив, что они могли использовать доступ к среде жертвы для усиления своих фишинговых кампаний. Это включало создание новых фишинговых доменов с внутренними системными именами, что наблюдалось в некоторых случаях.
Кодеш подчеркнул важность этого инцидента, подчеркнув риск синхронизации одноразовых кодов с облаком. Это поставило под угрозу фактор «что-то, что есть у пользователя» в многофакторной аутентификации. Он предложил пользователям рассмотреть возможность использования аппаратных ключей безопасности или ключей доступа, соответствующих требованиям FIDO2, для повышения защиты от фишинговых атак.
Пост «Нарушение атрибутов Retool, которое затронуло пользователей криптовалюты с помощью Google Authenticator», впервые появился на CryptoPotato.
