Фишеры, взломавшие Twilio и обманувшие Cloudflare, легко могут заполучить и вас
Фишеры, взломавшие Twilio и обманувшие Cloudflare, легко могут заполучить и вас
Expand
Гетти Изображений
По крайней мере, две чувствительные к безопасности компании, Twilio и Cloudflare, подверглись фишинговой атаке со стороны продвинутого злоумышленника, у которого были личные номера телефонов не только сотрудников, но и членов семей сотрудников. .
В случае с Twilio, поставщиком услуг двухфакторной аутентификации и связи из Сан-Франциско, неизвестным хакерам удалось получить учетные данные неизвестного числа сотрудников и оттуда получить несанкционированный доступ к внутренней системе компании. систем, говорится в сообщении компании. Затем злоумышленник использовал этот доступ к данным из нераскрытого количества учетных записей клиентов.
Через два дня после раскрытия Twilio сеть доставки контента Cloudflare, также базирующаяся в Сан-Франциско, сообщила, что она также подверглась аналогичной атаке. Cloudflare заявила, что трое ее сотрудников попались на фишинговую аферу, но использование компанией аппаратных ключей MFA предотвратило доступ потенциальных злоумышленников к ее внутренней сети.
Хорошо организованный, сложный, методичный
В обоих случаях злоумышленникам удалось получить номера домашних и рабочих телефонов двух сотрудников, а в некоторых случаях и членов их семей. Затем злоумышленники отправили текстовые сообщения, замаскированные под официальные сообщения компании. В сообщениях содержались ложные утверждения, например, об изменении графика сотрудника или о том, что пароль, который они использовали для входа в свою рабочую учетную запись, изменился. Как только сотрудник ввел учетные данные на поддельном сайте, он инициировал загрузку фишинговой полезной нагрузки, при нажатии на которую устанавливалось программное обеспечение AnyDesk для удаленного рабочего стола.
Увеличить
Облачно
Twilio
Грозный актер осуществил свою атаку с почти хирургической точностью. Во время атак на Cloudflare не менее 76 сотрудников получили сообщение в течение первой минуты. Сообщения поступали с разных телефонных номеров, принадлежащих T-Mobile. Домен, использованный в атаке, был зарегистрирован всего за 40 минут до этого, что позволило обойти защиту домена, используемую Cloudflare для обнаружения сайтов-самозванцев.
"Исходя из этих факторов, у нас есть основания полагать, что злоумышленники хорошо организованы, изощренны и методичны в своих действиях", – пишет Twilio. "Мы еще не определили конкретных действующих лиц, представляющих угрозу, но в наших усилиях мы сотрудничали с правоохранительными органами. Атаки с использованием методов социальной инженерии по своей природе сложны, продвинуты и предназначены для того, чтобы бросить вызов даже самым совершенным средствам защиты". /p>
Мэттью Принс, Дэниел Стинсон-Дисс и Суров Заман (генеральный директор, старший инженер по безопасности и менеджер по реагированию на инциденты соответственно) Cloudflare придерживаются аналогичного мнения.
«Это была изощренная атака, нацеленная на сотрудников и системы таким образом, что, по нашему мнению, большинство организаций могут быть взломаны», — написали они. "Поскольку злоумышленник нацелен на несколько организаций, мы хотели поделиться обзором того, что именно мы здесь увидели, чтобы помочь другим компаниям распознать и смягчить эту атаку".
Twilio и Cloudflare заявили, что не знают, как мошенники получили номера сотрудников.
Впечатляет то, что, несмотря на то, что трое ее сотрудников попались на удочку, Cloudflare удержала свои системы от взлома. Использование компанией аппаратных ключей безопасности, совместимых с FIDO2, для MFA было критически важным...
По крайней мере, две чувствительные к безопасности компании, Twilio и Cloudflare, подверглись фишинговой атаке со стороны продвинутого злоумышленника, у которого были личные номера телефонов не только сотрудников, но и членов семей сотрудников. .
В случае с Twilio, поставщиком услуг двухфакторной аутентификации и связи из Сан-Франциско, неизвестным хакерам удалось получить учетные данные неизвестного числа сотрудников и оттуда получить несанкционированный доступ к внутренней системе компании. систем, говорится в сообщении компании. Затем злоумышленник использовал этот доступ к данным из нераскрытого количества учетных записей клиентов.
Через два дня после раскрытия Twilio сеть доставки контента Cloudflare, также базирующаяся в Сан-Франциско, сообщила, что она также подверглась аналогичной атаке. Cloudflare заявила, что трое ее сотрудников попались на фишинговую аферу, но использование компанией аппаратных ключей MFA предотвратило доступ потенциальных злоумышленников к ее внутренней сети.
Хорошо организованный, сложный, методичный
В обоих случаях злоумышленникам удалось получить номера домашних и рабочих телефонов двух сотрудников, а в некоторых случаях и членов их семей. Затем злоумышленники отправили текстовые сообщения, замаскированные под официальные сообщения компании. В сообщениях содержались ложные утверждения, например, об изменении графика сотрудника или о том, что пароль, который они использовали для входа в свою рабочую учетную запись, изменился. Как только сотрудник ввел учетные данные на поддельном сайте, он инициировал загрузку фишинговой полезной нагрузки, при нажатии на которую устанавливалось программное обеспечение AnyDesk для удаленного рабочего стола.
Увеличить
Облачно
Twilio
Грозный актер осуществил свою атаку с почти хирургической точностью. Во время атак на Cloudflare не менее 76 сотрудников получили сообщение в течение первой минуты. Сообщения поступали с разных телефонных номеров, принадлежащих T-Mobile. Домен, использованный в атаке, был зарегистрирован всего за 40 минут до этого, что позволило обойти защиту домена, используемую Cloudflare для обнаружения сайтов-самозванцев.
"Исходя из этих факторов, у нас есть основания полагать, что злоумышленники хорошо организованы, изощренны и методичны в своих действиях", – пишет Twilio. "Мы еще не определили конкретных действующих лиц, представляющих угрозу, но в наших усилиях мы сотрудничали с правоохранительными органами. Атаки с использованием методов социальной инженерии по своей природе сложны, продвинуты и предназначены для того, чтобы бросить вызов даже самым совершенным средствам защиты". /p>
Мэттью Принс, Дэниел Стинсон-Дисс и Суров Заман (генеральный директор, старший инженер по безопасности и менеджер по реагированию на инциденты соответственно) Cloudflare придерживаются аналогичного мнения.
«Это была изощренная атака, нацеленная на сотрудников и системы таким образом, что, по нашему мнению, большинство организаций могут быть взломаны», — написали они. "Поскольку злоумышленник нацелен на несколько организаций, мы хотели поделиться обзором того, что именно мы здесь увидели, чтобы помочь другим компаниям распознать и смягчить эту атаку".
Twilio и Cloudflare заявили, что не знают, как мошенники получили номера сотрудников.
Впечатляет то, что, несмотря на то, что трое ее сотрудников попались на удочку, Cloudflare удержала свои системы от взлома. Использование компанией аппаратных ключей безопасности, совместимых с FIDO2, для MFA было критически важным...
Expand
Гетти Изображений
Увеличить
Облачно
Twilio
