Retool, una destacada empresa de desarrollo de software, reveló recientemente que 27 de sus clientes de la nube fueron víctimas de un ataque de phishing dirigido a través de SMS.
La violación ha generado preocupaciones sobre la seguridad de las funciones de sincronización en la nube, particularmente la sincronización en la nube de Google Authenticator.
Retool es víctima de un ataque de phishing por SMS dirigido
El ataque del 27 de agosto comenzó con una campaña engañosa de phishing por SMS dirigida a los empleados de Retool. Los individuos malintencionados se hicieron pasar por miembros del equipo de TI e instaron a los destinatarios a hacer clic en un enlace aparentemente legítimo para solucionar un problema relacionado con la nómina. Un empleado cayó en este truco y terminó en una página de inicio de sesión falsa con un formulario de autenticación multifactor donde le robaron sus credenciales de inicio de sesión.
Una vez que obtuvieron los datos de inicio de sesión del empleado, dieron un paso más y se pusieron en contacto directamente con la persona. Utilizando tecnología avanzada de deepfake, imitaron de manera convincente la voz de un miembro del equipo de TI y engañaron al empleado para que revelara el código de autenticación multifactor.
La situación cambió debido al uso por parte del empleado de la función de sincronización en la nube de Google Authenticator, lo que permitió a los atacantes obtener acceso a los sistemas administrativos internos. Posteriormente, obtuvieron el control de las cuentas de 27 clientes dentro de la industria de las criptomonedas.
Uno de los clientes afectados, Fortress Trust, sufrió una pérdida sustancial, con aproximadamente $15 millones en criptomonedas robadas como resultado de la violación.
El gobierno de EE. UU. emite una advertencia sobre la amenaza de los deepfake
El uso de tecnología deepfake en este ataque ha generado preocupación dentro del gobierno de Estados Unidos. Un aviso reciente advirtió sobre el posible uso indebido de audio, video y texto deepfakes con fines maliciosos, como ataques de compromiso de correo electrónico empresarial (BEC) y estafas con criptomonedas.
Aunque la identidad de los piratas informáticos sigue sin revelarse, las tácticas empleadas se parecen a las de un actor de amenazas con motivación financiera conocido como Scattered Spider, o UNC3944, conocido por sus sofisticadas técnicas de phishing.
Mandiant, una empresa de ciberseguridad, compartió información sobre los métodos de los atacantes y afirmó que podrían haber utilizado el acceso a los entornos de las víctimas para mejorar sus campañas de phishing. Esto implicó la creación de nuevos dominios de phishing con nombres internos del sistema, como se observó en algunos casos.
Kodesh destacó la importancia de este incidente y enfatizó el riesgo de sincronizar códigos únicos con la nube. Esto comprometió el factor "algo que tiene el usuario" en la autenticación multifactor. Sugirió que los usuarios consideren el uso de claves de seguridad o claves de acceso de hardware compatibles con FIDO2 para fortalecer la seguridad contra ataques de phishing.
Binance Free $ 100 (exclusivo): use este enlace para registrarse y recibir $ 100 gratis y un 10% de descuento en las tarifas de Binance Futures el primer mes (condiciones).
Oferta especial de PrimeXBT: use este enlace para registrarse e ingrese el código CRYPTOPOTATO50 para recibir hasta $ 7,000 en sus depósitos.
Fuente: https://cryptopotato.com/retool-attributes-breach-that-affected-crypto-users-with-googles-authenticator/