» »

Napad na Twilio in LastPass je del širokopotezne kampanje ribarjenja

Napad na Twilio in LastPass je del širokopotezne kampanje ribarjenja

Group-IB - Za phishing napadi, ki so v zadnjih mesecih prizadeli vrsto predvsem ameriških podjetij, verjetno stoji en akter, ki je tako od marca letos napadel blizu 170 tarč.

V začetku avgusta so pri razvijalcu komunikacijskega programja Twilio razkrili, da so bili tarča premišljenega napada z ribarjenjem. V dnevih zatem se je javilo še več žrtev, med njimi Cloudflare, LastPass, DoorDash in ponudnik 2FA storitev Okta, medtem ko so pri Signalu opozorili, da so napadalci nakradene informacije hitro uporabili za poskus zlorabe okoli 1900 številk njihovih uporabnikov. Kmalu se je pokazalo, da je napad zasnovan na izkoriščanju slabosti v spletnih in telefonskih storitvah dvostopenjske avtentikacije (2FA), kakršne ponujata Okta in pa Twiliov oddelek Authy. Posledično so pri varnostni firmi Group-IB, kjer so sedaj napravili podroben povzetek metod zlikovcev, napadalno kampanjo poimenovali 0ktapus.

Postopek je šel približno takole: napadalci so najprej pridobili službene ali domače telefonske številke ljudi v ciljanih podjetjih in jim na SMS poslali sporočilo, ki jih je odpeljalo na posnetek strani za 2FA vpis. Napadalci so vpisane podatke posredovali še verodostojnemu servisu, da je ta žrtvam poslal 2FA gesla ... ki so jih nato vnovič vpisale v lažno stran in tako malopridnežem dale na razpolago svoje uporabniške račune. Ne gre torej za kdovekako tehnično napredno metodo in analitiki po pregledu programskega kompleta, ki je bilo za napad uporabljeno, tudi sklepajo, da napadalci ali pa tisti, ki so jim dostavili orodja, niso zelo izkušeni. So pa bili pri izvedbi kampanje zelo natančni in metodični. Vdore so tudi zelo hitro izkoristili za nadaljnje napade po dobavni verigi, a zaenkrat ni jasno, ali je šlo za oportune akcije ali pa je bila to namera že od začetka. Hekerska skupina, ki za podvigom stoji, še ni znana, trenutno pa znaki namigujejo, da gre verjetno za Američane s finančnim motivom.

V Group-IB so našli 169 unikatnih uporabljenih phishing naslovov, kar daje slutiti, da je bilo tudi napadenih ciljev približno toliko, večina v ZDA. Med njimi naj bi bilo poleg zgoraj omenjenih še več velikih podjetij, od Microsofta do Twitterja, Coinbasa in Epic Games. Kje vse so vdori nepridipravom uspeli, ne povedo, skupno pa naj bi ukradli vpisne podatke najmanj 9931 uporabniških računov. Gre torej za eno najobsežnejših tovrstnih kampanj, ki naj bi trajala vsaj od marca 2022. Ribarski napad preko SMS je hkrati značilnost novejših časov, ko se napadalci od epošte usmerjajo drugam, saj ljudje vse manj radi klikajo na nepreverjene priponke v pošti.

7 komentarjev

Tody ::

Tole je skrajno neumno. Če nisi poklical 2f servisa zakaj bi vnašal podatke notri? In kaj mas za klikat linke v sms??? Če so jim vse pobral je premal

nirburu ::

Jaz ne vem ali so tej phising napadi res tako dobi, ampak predem vnesem katerakoli pomembna gesla v katerokoli stran najprej raziščem, če je stran legit. Mogoče v službi ko je več teh formalnih random stvari, te lažje zavedejo, ampak hey, očitno enim niti na kraj pameti ne pade, da je internet danes kot stanovanje. Ključe od stanovanja najbrž tudi ne talate prvemu, ki pride mimo in vam ponudi vgradnjo TVja a?

Aggressor ::

en CRISPR na dan odžene zdravnika stran

Tody ::

Sorry še zmeraj butasto... Eno je dostop do forumov, pa ze tam se lahko dela skoda, drugo je dostop do emaila, ali finančnih zadev.

googleg1 ::

Mislim, da tudi tukaj velja tale efekt:
 Dunning–Kruger effect

Dunning–Kruger effect


Ko ima podjetje deset zunanjih aplikacij (javni url naslovi) kjer se povsod vpisujes z domenskim geslom je vcasih treba kar nekaj napora, da ugotovis ali so dodali se enajsto ali je phishing. Nam IT na mesecni ravni podtika testne phishing maile in se mi je ze zgodilo, da sem kliknil link.

FastWIND ::

googleg1 je izjavil:

Mislim, da tudi tukaj velja tale efekt:
 Dunning–Kruger effect

Dunning–Kruger effect


Ko ima podjetje deset zunanjih aplikacij (javni url naslovi) kjer se povsod vpisujes z domenskim geslom je vcasih treba kar nekaj napora, da ugotovis ali so dodali se enajsto ali je phishing. Nam IT na mesecni ravni podtika testne phishing maile in se mi je ze zgodilo, da sem kliknil link.


Preveč informacij... In jih človek več ne sprocesira... Če k temu dodamo še slabo psiho-fizično stanje mnogih zaposlenih.. Je rezultat to kar beremo.

MrStein ::

Tody je izjavil:

Tole je skrajno neumno. Če nisi poklical 2f servisa zakaj bi vnašal podatke notri? In kaj mas za klikat linke v sms??? Če so jim vse pobral je premal

Nekateri servisi po določenem času "sami od sebe" ponovno zahtevajo drugi faktor, tako da ni tako preprosto.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Oddelek: Novice / Varnost
4711140 (2697) Mr.B
»

Parler je ugasnil (strani: 1 2 3 4 )

Oddelek: Novice / NWO
16026735 (20008) Poldi112
»

Reddit žrtev vdora, odnesli podatke o uporabnikih

Oddelek: Novice / Varnost
95328 (2917) M.B.
»

Microsoft: jesenske volitve v ZDA bodo spet varnostni izziv

Oddelek: Novice / Varnost
134887 (3696) bbf

Več podobnih tem