[ad_1]
la empresa de comunicaciones Twilio sufrió una brecha a principios de agosto que, según dijo, afectó a 163 de sus organizaciones cliente. De los 270.000 clientes de Twilio, el 0,06 % puede parecer trivial, pero el papel único de la empresa en el ecosistema digital significa que esa fracción de víctimas tuvo un valor y un impacto descomunales. La aplicación de mensajería segura Signal, la aplicación de autenticación de dos factores Authy y la firma de autenticación Okta son todos clientes de Twilio que fueron víctimas secundarias de la violación.
Twilio proporciona interfaces de programación de aplicaciones que permiten a las empresas automatizar los servicios de llamadas y SMS. Esto podría significar un sistema que usa un peluquero para recordar a los clientes los cortes de cabello y hacer que los devuelvan con «confirmar» o «cancelar». Pero también puede ser la plataforma a través de la cual las organizaciones administren sus sistemas SMS de autenticación de dos factores para enviar códigos de autenticación de un solo uso. Si bien se sabe desde hace mucho tiempo que los SMS son una forma insegura de recibir estos códigos, definitivamente es mejor que nada, y las organizaciones no han podido alejarse por completo de la práctica. Incluso una empresa como Authy, cuyo producto principal es una aplicación de generación de códigos de autenticación, utiliza algunos de los servicios de Twilio.
La campaña de piratería de Twilio realizada por un actor llamado 0ktapus y Scatter Swine es significativa porque muestra que los ataques de phishing no solo brindan a los atacantes un acceso valioso a una red de destino, sino que incluso pueden lanzar ataques en las cadenas de suministro donde el acceso a los sistemas de una empresa proporciona una ventana a esos de sus clientes
«Creo que pasará a la historia como uno de los hacks de formato largo más sofisticados», dijo un ingeniero de seguridad, que pidió no ser identificado porque su empleador tiene contratos con Twilio. “Fue un truco paciente que estaba muy enfocado pero tenía un alcance amplio. Pwn la autenticación multifactor, pwn el mundo”.
Los atacantes comprometieron a Twilio como parte de una campaña de phishing masiva pero personalizada contra más de 130 organizaciones, en la que los atacantes enviaron mensajes de texto SMS de phishing a los empleados de las empresas objetivo. Los mensajes de texto a menudo pretendían ser del departamento de TI o del equipo de logística de una empresa, lo que incitaba a los destinatarios a hacer clic en un enlace y actualizar su contraseña o iniciar sesión para verificar un cambio de horario. Twilio dice que las URL maliciosas contenían palabras como «Twilio», «Okta» o «SSO» para que la URL y la página de destino maliciosa asociada parecieran más legítimas. Los atacantes también se dirigieron a la empresa de infraestructura de Internet Cloudflare en su campaña, pero la empresa dijo a principios de agosto que no se vio comprometida debido a sus restricciones en el acceso de los empleados y el uso de claves de autenticación física para iniciar sesión.
«Lo más importante aquí es el hecho de que se utilizó SMS como el primer vector de ataque en esta campaña en lugar del correo electrónico», dijo Crane Hassold, director de inteligencia de amenazas de Abnormal Security y exanalista de comportamiento digital del FBI. “Hemos comenzado a ver más actores que se alejan del correo electrónico como su objetivo inicial y, a medida que las notificaciones por SMS se vuelven más comunes en las organizaciones, esto hará que este tipo de mensajes de phishing sean más exitosos. Como anécdota, ahora recibo mensajes de texto constantes de varias empresas con las que hago negocios, y ese no era el caso hace un año».
[ad_2]