Các tin tặc đã xâm nhập Twilio và Cloudflare hồi đầu tháng 130 cũng đã xâm nhập vào hơn 10,000 tổ chức khác trong cùng một chiến dịch, lấy đi gần 2 bộ thông tin xác thực Okta và xác thực hai yếu tố (XNUMXFA).
Đó là kết quả điều tra của Group-IB, cho thấy một số tổ chức nổi tiếng nằm trong số những đối tượng bị nhắm tới trong một chiến dịch lừa đảo lớn mà nhóm này gọi là 0ktapus. Mồi nhử rất đơn giản, chẳng hạn như thông báo giả mạo mà người dùng cần để đặt lại mật khẩu. Chúng được gửi qua tin nhắn có liên kết đến các trang web lừa đảo tĩnh phản ánh trang xác thực Okta của từng tổ chức cụ thể.
Các nhà nghiên cứu cho biết: “Mặc dù sử dụng các phương pháp kỹ năng thấp, [nhóm] vẫn có thể xâm phạm một số lượng lớn các tổ chức nổi tiếng”. bài đăng blog ngày hôm nay. “Hơn nữa, một khi những kẻ tấn công xâm nhập vào một tổ chức, chúng có thể nhanh chóng xoay vòng và thực hiện các cuộc tấn công chuỗi cung ứng tiếp theo, cho thấy rằng cuộc tấn công đã được lên kế hoạch cẩn thận từ trước.”
Đó là trường hợp của Vi phạm Twilio xảy ra vào ngày 4 tháng 25. Những kẻ tấn công đã có thể sử dụng kỹ thuật xã hội để một số nhân viên chuyển giao thông tin đăng nhập Okta của họ được sử dụng cho đăng nhập một lần trong toàn tổ chức, cho phép họ có quyền truy cập vào hệ thống nội bộ, ứng dụng và dữ liệu khách hàng. Vi phạm đã ảnh hưởng đến khoảng XNUMX tổ chức hạ nguồn sử dụng xác minh điện thoại của Twilio và các dịch vụ khác – bao gồm cả Signal, công ty đã phát hành một tuyên bố xác nhận rằng khoảng 1,900 người dùng có thể đã bị chiếm đoạt số điện thoại trong vụ việc.
Phần lớn trong số 130 công ty bị nhắm mục tiêu là SaaS và các công ty phần mềm ở Mỹ - không có gì đáng ngạc nhiên vì bản chất chuỗi cung ứng của cuộc tấn công.
Ví dụ: các nạn nhân khác trong chiến dịch bao gồm các công ty tiếp thị qua email Klaviyo và Mailchimp. Trong cả hai trường hợp, kẻ lừa đảo đã lấy đi tên, địa chỉ, email và số điện thoại của các khách hàng liên quan đến tiền điện tử của chúng, bao gồm cả khách hàng của Mailchimp là DigitalOcean (sau đó bỏ nhà cung cấp).
In Trường hợp của Cloudflare, một số nhân viên đã mắc phải mưu mẹo này, nhưng cuộc tấn công đã bị ngăn chặn nhờ các khóa bảo mật vật lý được cấp cho mọi nhân viên được yêu cầu truy cập vào tất cả các ứng dụng nội bộ.
Lior Yaari, Giám đốc điều hành và đồng sáng lập của Grip Security, lưu ý rằng mức độ và nguyên nhân của vụ vi phạm ngoài những phát hiện của Group IB vẫn chưa được biết, vì vậy những nạn nhân khác có thể được đưa ra ánh sáng.
Ông cảnh báo: “Việc xác định tất cả người dùng ứng dụng SaaS không phải lúc nào cũng dễ dàng đối với nhóm bảo mật, đặc biệt là những nhóm mà người dùng sử dụng thông tin đăng nhập và mật khẩu của riêng họ. “Việc khám phá Shadow SaaS không phải là một vấn đề đơn giản, nhưng có những giải pháp có thể khám phá và đặt lại mật khẩu người dùng cho Shadow SaaS.”
Đã đến lúc phải suy nghĩ lại về IAM?
Nhìn chung, sự thành công của chiến dịch minh họa sự rắc rối khi dựa vào con người để phát hiện kỹ thuật xã hội và những lỗ hổng trong hệ thống hiện có. quản lý danh tính và truy cập (IAM) đang đến gần.
Yaari nói: “Cuộc tấn công cho thấy IAM ngày nay mong manh như thế nào và tại sao ngành nên nghĩ đến việc loại bỏ gánh nặng đăng nhập và mật khẩu đối với những nhân viên dễ bị tấn công lừa đảo qua mạng và lừa đảo tinh vi”. “Nỗ lực khắc phục chủ động tốt nhất mà các công ty có thể thực hiện là yêu cầu người dùng đặt lại tất cả mật khẩu của họ, đặc biệt là Okta".
Vụ việc cũng chỉ ra rằng các doanh nghiệp ngày càng dựa vào quyền truy cập của nhân viên vào các điểm cuối di động để làm việc hiệu quả trong lực lượng lao động phân tán hiện đại, tạo ra một nền tảng lừa đảo mới, phong phú cho những kẻ tấn công như các tác nhân 0ktapus, theo Richard Melick, giám đốc báo cáo mối đe dọa tại Zimperi.
Ông viết trong một tuyên bố gửi qua email: “Từ lừa đảo đến các mối đe dọa mạng, ứng dụng độc hại cho đến các thiết bị bị xâm nhập, điều quan trọng đối với các doanh nghiệp là phải thừa nhận rằng bề mặt tấn công di động là vectơ không được bảo vệ lớn nhất đối với dữ liệu và quyền truy cập của họ”.
