Güvenlik açısından hassas en az iki şirket – Twilio ve Cloudflare – yalnızca çalışanların değil, aynı zamanda çalışanların aile üyelerinin de ev telefon numaralarına sahip olan gelişmiş bir tehdit aktörü tarafından bir kimlik avı saldırısının hedefi oldu.
San Francisco merkezli iki faktörlü kimlik doğrulama ve iletişim hizmetleri sağlayıcısı Twilio örneğinde, bilinmeyen bilgisayar korsanları, açıklanmayan sayıda çalışanın kimlik bilgilerini avlamayı başardılar ve oradan şirketin dahili sistemlerine yetkisiz erişim elde ettiler. şirket dedi. Tehdit aktörü daha sonra açıklanmayan sayıda müşteri hesabındaki verilere bu erişimi kullandı.
Twilio’nun ifşa edilmesinden iki gün sonra, yine merkezi San Francisco’da bulunan içerik dağıtım ağı Cloudflare, onun da benzer bir şekilde hedef alındığını açıkladı. Cloudflare, çalışanlarının üçünün kimlik avı dolandırıcılığına düştüğünü, ancak şirketin donanım tabanlı MFA anahtarlarını kullanmasının, olası davetsiz misafirlerin dahili ağına erişmesini engellediğini söyledi.
İyi organize edilmiş, sofistike, metodik
Her iki durumda da saldırganlar, her iki çalışanın ve bazı durumlarda aile üyelerinin ev ve iş telefon numaralarını bir şekilde ele geçirdi. Saldırganlar daha sonra resmi şirket iletişimi gibi görünen kısa mesajlar gönderdi. Mesajlar, bir çalışanın programında bir değişiklik veya iş hesabına giriş yapmak için kullandıkları şifrenin değişmiş olması gibi yanlış iddialarda bulundu. Bir çalışan sahte siteye kimlik bilgilerini girdiğinde, tıklandığında AnyDesk’ten uzak masaüstü yazılımı yükleyen bir kimlik avı yükünün indirilmesini başlattı.
Tehdit aktörü saldırısını neredeyse cerrahi bir hassasiyetle gerçekleştirdi. Cloudflare’e yapılan saldırılar ilk dakikada en az 76 çalışana mesaj geldi. Mesajlar, T-Mobile’a ait çeşitli telefon numaralarından geldi. Saldırıda kullanılan alan adı yalnızca 40 dakika önce kaydedilmişti ve Cloudflare’in sahtekar siteleri ortaya çıkarmak için kullandığı alan korumasını engelliyordu.
Twilio, “Bu faktörlere dayanarak, tehdit aktörlerinin eylemlerinde iyi organize, sofistike ve metodik olduğuna inanmak için nedenlerimiz var” dedi. “Burada çalışan belirli tehdit aktörlerini henüz tanımlamadık, ancak çabalarımızda kolluk kuvvetleriyle bağlantı kurduk. Sosyal olarak tasarlanmış saldırılar – doğaları gereği – karmaşık, gelişmiş ve en gelişmiş savunmalara bile meydan okumak için inşa edilmiştir.”
Matthew Prince, Daniel Stinson-Diess, Sourov Zaman – sırasıyla Cloudflare CEO’su, kıdemli güvenlik mühendisi ve olay müdahale lideri – benzer bir tavır aldı.
“Bu, çalışanları ve sistemleri, çoğu organizasyonun ihlal edileceğine inandığımız şekilde hedef alan karmaşık bir saldırıydı” diye yazdılar. “Saldırganın birden fazla kuruluşu hedef aldığı göz önüne alındığında, diğer şirketlerin bu saldırıyı tanımasına ve hafifletmesine yardımcı olmak için tam olarak gördüklerimizin bir özetini burada paylaşmak istedik.”
Twilio ve Cloudflare, kimlik avcılarının çalışan numaralarını nasıl elde ettiğini bilmediklerini söyledi.
Üç çalışanının dolandırıcılığa düşmesine rağmen Cloudflare’in sistemlerinin ihlal edilmesini engellemesi etkileyici. Şirketin MFA için FIDO2 standardına uygun donanım tabanlı güvenlik anahtarlarını kullanması kritik bir nedendi. Şirket, gönderilen kısa mesajlardan veya hatta bir kimlik doğrulama uygulaması tarafından oluşturulan tek seferlik şifrelere güvenmiş olsaydı, muhtemelen farklı bir hikaye olurdu.
Cloudflare yetkilileri açıkladı:
Kimlik avı sayfası bir kurban tarafından tamamlandığında, kimlik bilgileri, mesajlaşma hizmeti Telegram aracılığıyla hemen saldırgana iletildi. Bu gerçek zamanlı geçiş önemliydi çünkü kimlik avı sayfası aynı zamanda Zamana Dayalı Tek Kullanımlık Parola (TOTP) kodunu da soracaktı.
Muhtemelen, saldırgan kimlik bilgilerini gerçek zamanlı olarak alacak, bunları kurban şirketin gerçek oturum açma sayfasına girecek ve birçok kuruluş için, çalışana SMS yoluyla gönderilen veya bir şifre oluşturucuda görüntülenen bir kod oluşturacaktır. Çalışan daha sonra kimlik avı sitesine TOTP kodunu girer ve bu kod da saldırgana iletilir. Saldırgan daha sonra, TOTP kodunun süresi dolmadan önce, şirketin gerçek oturum açma sayfasına erişmek için kullanabilir ve çoğu iki faktörlü kimlik doğrulama uygulamasını yenebilir.
Üç Cloudflare çalışanının kimlik avı mesajına düştüğünü ve kimlik bilgilerini girdiğini doğruladık. Ancak Cloudflare, TOTP kodlarını kullanmaz. Bunun yerine, şirketteki her çalışana YubiKey gibi bir satıcıdan FIDO2 uyumlu bir güvenlik anahtarı verilir. Donanım anahtarları kullanıcılara bağlı olduğundan ve kaynak bağlama uyguladığından, bunun gibi karmaşık, gerçek zamanlı bir kimlik avı işlemi bile herhangi bir sistemimizde oturum açmak için gerekli bilgileri toplayamaz. Saldırgan, güvenliği ihlal edilmiş kullanıcı adı ve parola bilgileriyle sistemlerimizde oturum açmaya çalışırken, donanım anahtarı gereksinimini aşamadı.
Cloudflare, dolandırıcılığa düşen çalışanları disipline etmediğini söyleyerek devam etti ve nedenini açıkladı.
Yetkililer, “Paranoyak ama suçsuz bir kültüre sahip olmak güvenlik için kritik öneme sahip” diye yazdı. “Kimlik avı dolandırıcılığına düşen üç çalışan azarlanmadı. Hepimiz insanız ve hatalar yaparız. Hata yaptığımızda onları rapor etmemiz ve üzerini örtmememiz kritik derecede önemlidir.”