/ Автор: orsecadmin | Оставить комментарий
В прошлом месяце компания Retool, специализирующаяся на разработке бизнес-приложений для клиентов, стала жертвой нестандартного взлома, рассказывает портал SecurityLab.ru. Жертвами взлома стали 27 облачных клиентов компании.
Хакер начал свою атаку, отправив нескольким сотрудникам Retool SMS-сообщения от лица члена IT-команды, якобы решая проблему с выплатой зарплаты и предоставлением медицинской страховки. Большинство получивших проигнорировали фишинговое сообщение, за исключением одного сотрудника.
Этот ничего не подозревающий сотрудник перешел по URL-ссылке в сообщении, которая перенаправила его на поддельный интернет-портал для входа. После авторизации на сайте, с ним связались по телефону, используя голос, созданный с помощью ИИ-технологий, копирующий реальный голос одного из коллег. Хакер, изображавший члена IT-команды во время разговора, был знаком с планировкой офиса, коллегами жертвы по работе и внутренними процессами компании. В ходе беседы сотрудник начал подозревать подвох, однако все же предоставил атакующему дополнительный код двухфакторной аутентификации (MFA).
Этот инцидент указывает на то, что атакующий, возможно, уже частично получил доступ к ресурсам Retool до этого звонка. Получив код двухфакторной аутентификации, злоумышленник добавил свое устройство к аккаунту сотрудника и получил доступ к его GSuite-аккаунту.
Особенно опасной ситуация стала оттого, что в приложении Google Authenticator недавно появилась функция синхронизации в облаке. Это означает, что коды MFA теперь можно просматривать на нескольких устройствах, связанных с аккаунтом.
Retool подчеркнула серьезность проблемы: «Если ваш Google-аккаунт скомпрометирован, ваши MFA-коды также находятся под угрозой».
По словам компании, именно доступ к Google-аккаунту позволил злоумышленнику проникнуть в внутренние системы компании.
Retool уже лишила хакера доступа, но решила раскрыть информацию о произошедшем, чтобы предостеречь другие компании. Они также призвали Google изменить свое приложение аутентификации, чтобы компании могли легко отключать функцию синхронизации в облаке для своих сотрудников. Представители Google пока не комментировали эту ситуацию.
С заботой о вашей безопасности, команда Origin Security