Încălcarea atributelor Retool care a afectat utilizatorii Crypto cu Google Authenticator

Retool, o companie proeminentă de dezvoltare de software, a dezvăluit recent că 27 dintre clienții săi cloud au căzut pradă unui atac de phishing prin SMS.

Încălcarea a stârnit îngrijorări cu privire la securitatea funcțiilor de sincronizare în cloud, în special în ceea ce privește sincronizarea în cloud a Google Authenticator.

Retool cade pradă unui atac de phishing prin SMS

Atacul din 27 august a început cu o campanie înșelătoare de phishing prin SMS, îndreptată către angajații Retool. Indivizii rău intenționați s-au prefăcut a fi membri ai echipei IT și i-au îndemnat pe destinatari să facă clic pe un link aparent legitim pentru a rezolva o problemă legată de salarizare. Un angajat s-a îndrăgostit de acest truc și a ajuns pe o pagină de autentificare falsă cu un formular de autentificare cu mai mulți factori în care datele de conectare le-au fost furate.

Odată ce au achiziționat datele de conectare ale angajatului, au făcut un pas mai departe contactând direct persoana respectivă. Folosind tehnologia avansată deepfake, au imitat în mod convingător vocea unui membru al echipei IT și l-au păcălit pe angajat să dezvăluie codul de autentificare cu mai mulți factori.

Situația a luat o întorsătură din cauza utilizării de către angajat a funcției de sincronizare în cloud a Google Authenticator, permițând atacatorilor să obțină acces la sistemele administrative interne. Ulterior, aceștia au câștigat controlul conturilor aparținând a 27 de clienți din industria criptomonedei.

Unul dintre clienții afectați, Fortress Trust, a suferit o pierdere substanțială, fiind furate criptomonede în valoare de aproximativ 15 milioane de dolari ca urmare a încălcării.

Guvernul SUA emite un avertisment cu privire la amenințarea profundă

Utilizarea tehnologiei deepfake în acest atac a stârnit îngrijorare în guvernul SUA. Un aviz recent a avertizat cu privire la potențiala utilizare greșită a falsurilor audio, video și text în scopuri rău intenționate, cum ar fi atacurile de compromitere a e-mailurilor de afaceri (BEC) și escrocherii cu criptomonede.

Deși identitatea hackerilor rămâne nedezvăluită, tacticile folosite seamănă cu cele ale unui actor de amenințări motivat financiar, cunoscut sub numele de Scattered Spider, sau UNC3944, cunoscut pentru tehnicile sale sofisticate de phishing.

Mandiant, o firmă de securitate cibernetică, a împărtășit informații despre metodele atacatorilor, declarând că ar fi putut folosi accesul la mediile victimelor pentru a-și îmbunătăți campaniile de phishing. Aceasta a implicat crearea de noi domenii de phishing cu nume de sistem interne, așa cum sa observat în unele cazuri.

Kodesh a subliniat importanța acestui incident, subliniind riscul sincronizării codurilor unice cu cloud. Acest lucru a compromis factorul „ceva pe care îl are utilizatorul” în autentificarea cu mai mulți factori. El a sugerat utilizatorilor să ia în considerare utilizarea cheilor de securitate hardware sau cheilor de acces conform FIDO2 pentru a consolida securitatea împotriva atacurilor de tip phishing.

OFERTA SPECIALĂ (sponsorizată)

Binance Free 100 USD (exclusiv): Utilizați acest link pentru a vă înregistra și a primi 100 USD gratuit și 10% reducere la taxe la Binance Futures prima lună (termeni).

Ofertă specială PrimeXBT: Utilizați acest link pentru a vă înregistra și introduce codul CRYPTOPOTATO50 pentru a primi până la 7,000 USD din depozitele dvs.

Sursa: https://cryptopotato.com/retool-attributes-breach-that-affected-crypto-users-with-googles-authenticator/