แฮ็กเกอร์ที่ละเมิด Twilio และ Cloudflare เมื่อต้นเดือนสิงหาคมยังแทรกซึมองค์กรอื่นๆ อีกกว่า 130 องค์กรในแคมเปญเดียวกัน โดยดูดข้อมูลรับรอง Okta และการตรวจสอบสิทธิ์สองปัจจัย (10,000FA) เกือบ 2 ชุด
นั่นเป็นไปตามการสอบสวนของ Group-IB ซึ่งพบว่าองค์กรที่มีชื่อเสียงหลายแห่งอยู่ในกลุ่มที่กำหนดเป้าหมายในแคมเปญฟิชชิ่งขนาดใหญ่ที่เรียกว่า 0ktapus การหลอกลวงนั้นเรียบง่าย เช่น การแจ้งเตือนปลอมที่ผู้ใช้จำเป็นต้องรีเซ็ตรหัสผ่าน พวกเขาถูกส่งผ่านทางข้อความที่มีลิงก์ไปยังไซต์ฟิชชิ่งแบบคงที่ซึ่งสะท้อนหน้าการตรวจสอบสิทธิ์ Okta ของแต่ละองค์กร
“แม้จะใช้วิธีการที่มีทักษะต่ำ [กลุ่ม] ก็สามารถประนีประนอมกับองค์กรที่มีชื่อเสียงจำนวนมากได้” นักวิจัยกล่าวใน บล็อกโพสต์วันนี้. “นอกจากนี้ เมื่อผู้โจมตีบุกรุกองค์กร พวกเขาสามารถพลิกกลับและเริ่มการโจมตีในห่วงโซ่อุปทานที่ตามมาได้อย่างรวดเร็ว ซึ่งบ่งชี้ว่าการโจมตีมีการวางแผนอย่างรอบคอบล่วงหน้า”
นั่นคือกรณีของ Twilio ฝ่าฝืน ที่เกิดขึ้นเมื่อ 4 ส.ค. ผู้โจมตีสามารถวิศวกรสังคมออนไลน์พนักงานหลายคนเพื่อมอบข้อมูลประจำตัว Okta ที่ใช้สำหรับการลงชื่อเพียงครั้งเดียวทั่วทั้งองค์กร ทำให้พวกเขาสามารถเข้าถึงระบบภายใน แอปพลิเคชัน และข้อมูลลูกค้าได้ การละเมิดดังกล่าวส่งผลกระทบต่อองค์กรปลายน้ำประมาณ 25 แห่งที่ใช้การยืนยันทางโทรศัพท์และบริการอื่นๆ ของ Twilio รวมถึง Signal ซึ่งออกให้ คำสั่ง ยืนยันว่าผู้ใช้ประมาณ 1,900 รายอาจถูกจี้หมายเลขโทรศัพท์ในเหตุการณ์
บริษัทเป้าหมายส่วนใหญ่ 130 แห่งคือ SaaS และบริษัทซอฟต์แวร์ในสหรัฐอเมริกา — ไม่น่าแปลกใจเลยที่ ลักษณะห่วงโซ่อุปทานของการโจมตี.
ตัวอย่างเช่น เหยื่อเพิ่มเติมในการรณรงค์ ได้แก่ บริษัทการตลาดผ่านอีเมล Klaviyo และ MailChimp. ในทั้งสองกรณี เหล่ามิจฉาชีพมีชื่อ ที่อยู่ อีเมล และหมายเลขโทรศัพท์ของลูกค้าที่เกี่ยวข้องกับคริปโตเคอเรนซี รวมถึงสำหรับลูกค้า Mailchimp DigitalOcean (ซึ่งต่อมา ทิ้งผู้ให้บริการ).
In กรณีของ Cloudflareพนักงานบางคนใช้อุบาย แต่การโจมตีถูกขัดขวางด้วยคีย์ความปลอดภัยทางกายภาพที่ออกให้กับพนักงานทุกคนที่จำเป็นในการเข้าถึงแอปพลิเคชันภายในทั้งหมด
Lior Yaari ซีอีโอและผู้ร่วมก่อตั้ง Grip Security ตั้งข้อสังเกตว่าขอบเขตและสาเหตุของการละเมิดที่อยู่นอกเหนือการค้นพบของ Group IB ยังไม่เป็นที่ทราบ ดังนั้นอาจมีผู้เสียหายเพิ่มเติม
“การระบุผู้ใช้ทั้งหมดของแอป SaaS ไม่ใช่เรื่องง่ายเสมอไปสำหรับทีมรักษาความปลอดภัย โดยเฉพาะอย่างยิ่งผู้ที่ผู้ใช้ใช้การเข้าสู่ระบบและรหัสผ่านของตนเอง” เขาเตือน “การค้นพบ Shadow SaaS ไม่ใช่ปัญหาง่ายๆ แต่มีวิธีแก้ปัญหาที่สามารถค้นหาและรีเซ็ตรหัสผ่านของผู้ใช้สำหรับ Shadow SaaS”
ถึงเวลาคิดใหม่ IAM?
โดยรวมแล้ว ความสำเร็จของแคมเปญแสดงให้เห็นถึงปัญหาในการพึ่งพามนุษย์ในการตรวจจับวิศวกรรมสังคม และช่องว่างที่มีอยู่ การระบุตัวตนและการจัดการการเข้าถึง (IAM) เข้าใกล้
"การโจมตีแสดงให้เห็นว่า IAM เปราะบางเพียงใดในทุกวันนี้ และเหตุใดอุตสาหกรรมจึงควรคิดถึงการขจัดภาระการเข้าสู่ระบบและรหัสผ่านออกจากพนักงานที่อ่อนไหวต่อวิศวกรรมสังคมและการโจมตีแบบฟิชชิ่งที่ซับซ้อน" Yaari กล่าว “ความพยายามในการแก้ไขเชิงรุกที่ดีที่สุดที่บริษัทสามารถทำได้คือการให้ผู้ใช้รีเซ็ตรหัสผ่านทั้งหมดของตน โดยเฉพาะ Okta".
เหตุการณ์ดังกล่าวยังชี้ให้เห็นว่าองค์กรต่างๆ พึ่งพาการเข้าถึงอุปกรณ์เคลื่อนที่ของพนักงานของตนมากขึ้นเพื่อให้ทำงานได้อย่างมีประสิทธิภาพในพนักงานแบบกระจายที่ทันสมัย สร้างพื้นที่ฟิชชิ่งใหม่ที่สมบูรณ์สำหรับผู้โจมตีเช่นนักแสดง 0ktapus ตามที่ Richard Melick ผู้อำนวยการรายงานภัยคุกคามที่ ซิมเพเรียม
“ตั้งแต่ฟิชชิ่งไปจนถึงภัยคุกคามเครือข่าย แอปพลิเคชันที่เป็นอันตรายไปจนถึงอุปกรณ์ที่ถูกบุกรุก เป็นสิ่งสำคัญสำหรับองค์กรที่ต้องรับรู้ว่าพื้นผิวการโจมตีบนมือถือเป็นเวกเตอร์ที่ใหญ่ที่สุดที่ไม่ได้รับการป้องกันสำหรับข้อมูลและการเข้าถึงของพวกเขา” เขาเขียนในแถลงการณ์ทางอีเมล
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์