Los phishers que piratearon Twilio y engañaron a Cloudflare también podrían atraparlo fácilmente

imágenes falsas

Al menos dos empresas sensibles a la seguridad, Twilio y Cloudflare, fueron el objetivo de un ataque de phishing por parte de un actor de amenazas avanzado que poseía números de teléfono residenciales no solo de los empleados sino también de los familiares de los empleados.

En el caso de Twilio, un proveedor de servicios de comunicaciones y autenticación de dos factores con sede en San Francisco, los piratas informáticos desconocidos lograron phishing las credenciales de un número no revelado de empleados, obteniendo acceso no autorizado a los sistemas internos de la empresa, dijo la empresa. Luego, el atacante aprovechó este acceso a los datos en un número no revelado de cuentas de clientes.

Dos días después de que se presentara Twilio, la red de entrega de contenido Cloudflare, también con sede en San Francisco, anunció que también había sido atacada de manera similar. Cloudflare dijo que tres de sus empleados cayeron en la estafa de phishing, pero que el uso de claves MFA basadas en hardware por parte de la empresa impidió que los posibles intrusos accedieran a su red interna.

Bien organizado, exigente, metódico.

En ambos casos, los atacantes obtuvieron de alguna manera los números de teléfono de casa y trabajo de ambos empleados y, en algunos casos, de sus familiares. Luego, los atacantes enviaron mensajes de texto disfrazados de comunicaciones oficiales de la empresa. Se han hecho afirmaciones falsas en las noticias, p. Por ejemplo, el horario de un empleado ha cambiado o la contraseña que usa para iniciar sesión en su cuenta de trabajo ha cambiado. Una vez que un empleado ingresó las credenciales en el sitio web falso, inició la descarga de una carga útil de phishing que, al hacer clic, instaló el software de escritorio remoto AnyDesk.

llamarada de nube

Twilio

El atacante ejecutó su ataque con precisión casi quirúrgica. En los ataques a Cloudflare, al menos 76 empleados recibieron un mensaje en el primer minuto. Los mensajes provenían de diferentes números de teléfono de T-Mobile. El dominio utilizado en el ataque solo se había registrado 40 minutos antes, anulando la protección de dominio que utiliza Cloudflare para detectar sitios web fraudulentos.

«Con base en estos factores, tenemos razones para creer que los actores de amenazas están bien organizados, son sofisticados y metódicos en sus acciones», escribió Twilio. “Todavía no hemos identificado a los actores de amenazas específicos que trabajan aquí, pero hemos estado colaborando con las fuerzas del orden público en nuestros esfuerzos. Los ataques de ingeniería social son, por su propia naturaleza, complejos, sofisticados y diseñados para desafiar incluso las defensas más avanzadas”.

Matthew Prince, Daniel Stinson-Diess y Sourov Zaman, director ejecutivo, ingeniero sénior de seguridad y líder de respuesta a incidentes de Cloudflare, respectivamente, tuvieron una opinión similar.

«Este fue un ataque sofisticado que apuntó a personas y sistemas, por lo que creemos que la mayoría de las organizaciones probablemente se verían perjudicadas», escribieron. «Dado que el atacante se dirige a varias organizaciones, queríamos brindar una descripción general de lo que vimos específicamente para ayudar a otras organizaciones a detectar y contener este ataque».

Twilio y Cloudflare dijeron que no sabían cómo los phishers obtuvieron los números de los empleados.

Es impresionante que aunque tres de sus empleados cayeron en la estafa, Cloudflare evitó que sus sistemas fueran pirateados. El uso por parte de la empresa de claves de seguridad basadas en hardware que cumplen con el estándar FIDO2 para MFA fue una razón clave. Si la empresa hubiera confiado en contraseñas de un solo uso de mensajes de texto enviados, o incluso generadas a partir de una aplicación de autenticación, probablemente habría sido una historia diferente.

Los funcionarios de Cloudflare explicaron:

Cuando una víctima completaba la página de phishing, los datos de acceso se reenviaban inmediatamente al atacante a través del servicio de mensajería Telegram. Esta retransmisión en tiempo real fue importante porque el sitio de phishing también solicitó un código de contraseña de un solo uso (TOTP) basado en el tiempo.

Presuntamente, el atacante recibiría las credenciales en tiempo real, las ingresaría en la página de inicio de sesión real de la empresa víctima y, para muchas organizaciones, generaría un código que se enviaría por mensaje de texto al empleado o se mostraría en un generador de contraseñas. Luego, el empleado ingresaría el código TOTP en la página de phishing y esto también se reenviaría al atacante. El atacante podría entonces, antes de que caducara el código TOTP, usarlo para acceder a la página de inicio de sesión real de la empresa, sin pasar por la mayoría de las implementaciones de autenticación de dos factores.

llamarada de nube

Hemos confirmado que tres empleados de Cloudflare cayeron en el mensaje de phishing e ingresaron sus credenciales. Sin embargo, Cloudflare no usa códigos TOTP. En cambio, cada empleado de la empresa recibe una clave de seguridad compatible con FIDO2 de un proveedor como YubiKey. Debido a que las claves físicas están vinculadas al usuario e implementan el enlace de origen, incluso una operación de phishing en tiempo real sofisticada como esta no puede recopilar la información necesaria para iniciar sesión en cualquiera de nuestros sistemas. Si bien el atacante intentó iniciar sesión en nuestros sistemas utilizando el nombre de usuario y la contraseña comprometidos, no pudo superar el requisito de la clave física.

Cloudflare continuó diciendo que no estaba disciplinando a los empleados que cayeron en la estafa y explicó por qué.

“Tener una cultura paranoica pero impecable es fundamental para la seguridad”, escribieron los funcionarios. “Los tres empleados que cayeron en la estafa de phishing no fueron reprendidos. Todos somos humanos y cometemos errores. Es vital que los denunciemos y no los encubramos”.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí