Retool, вядомая кампанія па распрацоўцы праграмнага забеспячэння, нядаўна паказала, што 27 яе хмарных кліентаў сталі ахвярамі мэтанакіраванай фішынгавай атакі на аснове SMS.
Узлом выклікаў занепакоенасць наконт бяспекі функцый воблачнай сінхранізацыі, асабліва воблачнай сінхранізацыі Google Authenticator.
Retool становіцца ахвярай мэтанакіраванай SMS-фішынгавай атакі
Атака 27 жніўня пачалася з падманнай SMS-фішынгавай кампаніі, накіраванай супраць супрацоўнікаў Retool. Зламыснікі выдавалі сябе за членаў ІТ-каманды і заклікалі атрымальнікаў націснуць на, здавалася б, законную спасылку, каб вырашыць праблему, звязаную з заработнай платай. Адзін супрацоўнік паддаўся гэтай хітрасці і апынуўся на падробленай старонцы ўваходу з формай шматфактарнай аўтэнтыфікацыі, дзе яго ўліковыя дадзеныя былі скрадзеныя.
Пасля таго, як яны атрымалі дадзеныя для ўваходу супрацоўніка, яны пайшлі яшчэ далей, звязаўшыся з чалавекам непасрэдна. Выкарыстоўваючы перадавую тэхналогію deepfake, яны пераканаўча імітавалі голас члена ІТ-каманды і падманам прымусілі супрацоўніка раскрыць код шматфактарнай аўтэнтыфікацыі.
Сітуацыя павярнулася з-за выкарыстання супрацоўнікам функцыі воблачнай сінхранізацыі Google Authenticator, што дазволіла зламыснікам атрымаць доступ да ўнутраных адміністрацыйных сістэм. Пасля яны атрымалі кантроль над рахункамі, якія належаць 27 кліентам у індустрыі крыптавалют.
Адзін з пацярпелых кліентаў, Fortress Trust, панёс значныя страты: у выніку ўзлому выкрадзена крыптавалюта на суму каля 15 мільёнаў долараў.
Урад ЗША папярэджвае аб пагрозе Deepfake
Выкарыстанне тэхналогіі deepfake у гэтай атацы выклікала занепакоенасць урада ЗША. Нядаўняя рэкамендацыя папярэджвала аб патэнцыйным злоўжыванні аўдыя-, відэа- і тэкставымі дыпфейкамі ў зламысных мэтах, такіх як атакі на бізнес-электронную пошту (BEC) і махлярства з крыптавалютамі.
Нягледзячы на тое, што асобы хакераў застаюцца нераскрытымі, выкарыстаная тактыка нагадвае тактыку фінансава матываванага пагрозы, вядомага як Scattered Spider, або UNC3944, вядомага сваімі складанымі метадамі фішынгу.
Кампанія Mandiant, якая займаецца кібербяспекай, падзялілася інфармацыяй аб метадах зламыснікаў, заявіўшы, што яны маглі выкарыстоўваць доступ да асяроддзя ахвяры для паляпшэння сваіх фішынгавых кампаній. Гэта ўключала стварэнне новых фішынгавых даменаў з унутранымі сістэмнымі імёнамі, як назіралася ў некаторых выпадках.
Кодэш падкрэсліў важнасць гэтага інцыдэнту, падкрэсліўшы рызыку сінхранізацыі аднаразовых кодаў з воблакам. Гэта скампраметавала фактар «штосьці, што ёсць у карыстальніка» ў шматфактарнай аўтэнтыфікацыі. Ён прапанаваў карыстальнікам разгледзець магчымасць выкарыстання сумяшчальных з FIDO2 апаратных ключоў бяспекі або ключоў доступу для павышэння бяспекі ад фішынгавых нападаў.
Binance Free $100 (эксклюзіў): выкарыстоўвайце гэтую спасылку, каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures за першы месяц (тэрміны).
Спецыяльная прапанова PrimeXBT: скарыстайцеся гэтай спасылкай, каб зарэгістравацца і ўвесці код CRYPTOPOTATO50, каб атрымаць да 7,000 долараў ЗША на свае дэпазіты.
Крыніца: https://cryptopotato.com/retool-attributes-breach-that-affected-crypto-users-with-googles-authenticator/