Ataque Twilio mostra fraquezas em sistemas de autenticação multifator

A mais recente revelação sobre a campanha de phishing para comprometer as contas de login dos funcionários da Twilio é um lembrete de que a autenticação multifator para proteger os logins pode ser ignorada se os sistemas por trás dela não forem seguros.

Twilio é um serviço que atua como uma ponte entre a internet e as redes telefônicas. Ele pode, por exemplo, ajudar os compradores de produtos a se comunicarem com o suporte ao cliente por meio de e-mail, texto e mensagens telefônicas. Usado por muitas empresas grandes, é um alvo ideal para um ataque à cadeia de suprimentos para entrar nos sistemas de TI de seus clientes.

A evidência vem em um resumo do provedor de identidade e acesso Okta de como ele foi pego no golpe de phishing Twilio no início deste mês. 

Alguns dos clientes da Twilio usam o Okta para autenticação multifator. Entre outras coisas, o relatório mostra que os líderes de TI e segurança precisam pensar com cuidado antes de confiar na autenticação de dois fatores baseada em texto SMS para proteger seus sistemas contra hackers.

No relatório “Detecting Scatter Swine: Insights into a relentless phishing campaign”, a Okta reconheceu que um “pequeno número” de registros de telefones celulares de clientes do Twilio, e mensagens SMS com senhas de uso único para códigos 2FA enviados para esses dispositivos, estavam acessíveis ao invasor que entrou nos consoles dos funcionários do Twilio no início deste mês.

Não se sabe quantos logins de pessoas foram comprometidos pela capacidade do invasor de ver seus códigos 2FA. Otka observa que uma senha de uso único é válida por apenas cinco minutos.

A Otka oferece aos clientes várias opções para autenticação de dois fatores e multifator. 

Especialistas em segurança cibernética concordam que a autenticação baseada em SMS é melhor do que nenhuma.

A segurança de qualquer solução depende de todo o seu processo

Twilio reconheceu que na campanha de phishing de agosto os hackers acessaram as contas de 93 usuários individuais do Authy. Usando esse acesso, os hackers registraram os dispositivos móveis que possuíam nessas contas comprometidas, para que pudessem receber quaisquer códigos Authy 2FA enviados até que Twilio os cortasse.

Em seu relatório na semana passada, a Okta disse em 8 de agosto que o Twilio notificou que várias contas de clientes e aplicativos internos do Twilio foram acessados ​​depois que alguns de seus funcionários caíram em golpes de phishing baseados em texto. 

Essas mensagens convenceram os funcionários da Twilio a clicar em um link para reconfirmar seu acesso corporativo. Isso levou ao download de malware em seus dispositivos.

Usando os logs do Twilio, a equipe de operações cibernéticas defensivas do Okta percebeu que duas categorias de números de celular relevantes para o Okta e senhas de uso único eram visíveis durante o tempo em que o invasor tinha acesso ao console do Twilio. 

Um grupo consistia em 38 números de telefones celulares que o invasor pesquisou diretamente no console do Twilio. 

O hacker usou credenciais roubadas anteriormente em campanhas de phishing para acionar desafios de MFA baseados em SMS e usou o acesso a sistemas Twilio para pesquisar senhas de uso único enviadas em resposta a esses desafios.

A segunda categoria de números de telefones celulares expostos foi o que Okta chama de “incidental” para essa atividade – o que significa que eles podem estar presentes no portal Twilio durante a “janela de atividade limitada” do invasor. Okta não acredita que o hacker tenha como alvo ou usado esses números de telefone celular.

Okta diz que o invasor envolvido neste ataque foi visto em outras campanhas de phishing e foi apelidado de “Scatter Swine”. Ele atacou diretamente o Okta em campanhas de phishing em várias ocasiões sem sucesso, disse a empresa.

Esse invasor envia iscas de phishing em massa para indivíduos em organizações visadas por meio de mensagens de texto em seus smartphones. 

Às vezes, repetidas mensagens push de MFA são enviadas aos funcionários, esperando que eles autentiquem uma mensagem apenas para interromper os textos irritantes.

Ele também chama os indivíduos visados ​​e representa o suporte de TI tentando entender como a autenticação funciona na organização visada.

O especialista em segurança cibernética Roger Grimes alertou repetidamente os líderes de TI que as soluções de MFA não são rígidas e podem ser ignoradas sob certas condições.

Okta diz que as organizações devem considerar o uso de autenticadores fortes com as propriedades mais resistentes a phishing, como WebAuthn, chaves U2F (como YubiKeys) e cartões inteligentes. Eles também devem treinar os usuários para identificar e-mails suspeitos, sites de phishing e técnicas comuns de engenharia social usadas por invasores.

Os funcionários também devem ser alertados sobre os riscos de publicar seus dados de contato na internet.

AUTENTICAÇÃO

Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!