Cloudflare, geçen hafta Twilio’nun ağının ihlal edilmesine neden olana benzer bir SMS kimlik avı saldırısında bazı çalışanlarının kimlik bilgilerinin de çalındığını söylüyor.
Ancak, saldırganlar Cloudflare çalışanlarının hesaplarını ele geçirmelerine rağmen, kurbanlarının şirket tarafından verilen FIDO2 uyumlu güvenlik anahtarlarına erişimleri olmadığından, onları kullanarak giriş yapma girişimleri engellendikten sonra sistemlerini ihlal edemediler.
Cloudflare, “Twilio’nun saldırıya uğradığı sıralarda, çok benzer özelliklere sahip bir saldırının Cloudflare çalışanlarını da hedef aldığını gördük.” açıkladı Salı günü.
“Bireysel çalışanlar kimlik avı mesajlarına aldanırken, kendi Cloudflare One ürünlerini ve tüm uygulamalarımıza erişmesi gereken her çalışana verilen fiziksel güvenlik anahtarlarını kullanarak saldırıyı engelleyebildik.
“Saldırgan, güvenliği ihlal edilmiş kullanıcı adı ve parola bilgileriyle sistemlerimizde oturum açmaya çalışırken, donanım anahtarı gereksinimini aşamadı.”
Cloudflare’in de ortaya koyduğu gibi, kimlik avı sayfalarına kimlik bilgilerini girdikten sonra, AnyDesk uzaktan erişim yazılımı bilgisayarlarına otomatik olarak indirilerek, tehdit aktörlerinin yüklenirse bilgisayarlarının kontrolünü uzaktan ele geçirmelerini sağlar.
76 çalışana ve ailelerine T-Mobile telefon numaralarından gönderilen kimlik avı mesajları, hedefleri cloudflare-okta’da barındırılan bir Cloudflare Okta giriş sayfası klonuna yönlendirdi.[.]com alanı.
Bu alan, Twilio saldırısında görülen açılış sayfalarını barındırmak için kullanılan web alanlarını kaydetmek için kullanılan Porkbun alan adı kayıt şirketi aracılığıyla kaydedildi.
Şirket, bu saldırıya yanıt olarak aşağıdakiler de dahil olmak üzere çeşitli önlemler aldı:
- Cloudflare Gateway kullanarak kimlik avı alanını engelleyin
- Etkilenen tüm Cloudflare çalışanlarını belirleyin ve güvenliği ihlal edilmiş kimlik bilgilerini sıfırlayın
- Tehdit aktörü altyapısını belirleyin ve kaldırın
- Sonraki saldırı girişimlerini belirlemek için algılamaları güncelleyin
- Ek saldırı belirtileri için hizmet erişim günlüklerini denetleyin
Son derece popüler iki faktörlü kimlik doğrulama (2FA) sağlayıcısı Authy’nin sahibi olan bulut iletişim şirketi Twilio, bu hafta benzer bir saldırı açıkladı.
Cloudflare’den farklı olarak şirket, saldırganların bir SMS kimlik avı saldırısında çalınan çalışan kimlik bilgilerini kullanarak dahili sistemleri ihlal ettikten sonra bazı müşterilerinin verilerine erişebildiğini söyledi.
Twilio, olaya müdahale çabalarını aynı zamanlarda benzer saldırılara hedef olan diğer şirketlerle koordine ettiğini de açıkladı.
“Diğer şirketlerden onların da benzer saldırılara maruz kaldıklarını duyduk ve tehdit aktörlerine yanıtımızı koordine ettik – kötü niyetli mesajları durdurmak için taşıyıcılarla ve ayrıca kayıt şirketleri ve barındırma sağlayıcılarıyla kapatmak için işbirliği yapmak da dahil. kötü niyetli URL’ler,” dedi Twilio.
“Bu yanıta rağmen, tehdit aktörleri, saldırılarını sürdürmek için taşıyıcılar ve barındırma sağlayıcıları arasında dönmeye devam etti.”