По меньшей мере две важные для безопасности компании – Twilio и Cloudflare – подверглись фишинговой атаке со стороны продвинутого агента угроз, в распоряжении которого оказались номера телефонов не только сотрудников, но и членов их семей.

В случае с Twilio, поставщиком услуг двухфакторной аутентификации, неизвестным хакерам удалось подделать учетные данные неустановленного числа сотрудников и получить несанкционированный доступ к внутренним системам компании, сообщила сама Twilio. Затем злоумышленники использовали этот доступ ради данных неопределенного числа учетных записей клиентов.

Через два дня после заявления Twilio сеть доставки контента и защиты от DDoS-атак Cloudflare сообщила, что она также подверглась аналогичной атаке. По ее словам, три ее сотрудника попались на фишинговую аферу, но использование компанией аппаратных ключей MFA не позволило потенциальным злоумышленникам получить доступ к внутренней сети.

В обоих случаях злоумышленники каким-то образом узнали домашние и рабочие номера телефонов сотрудников и, в некоторых случаях, членов их семей. Затем злоумышленники отправляли текстовые сообщения, которые были замаскированы под официальные сообщения компании. После того как сотрудник вводил учетные данные на поддельном сайте, начиналась загрузка фишинговой полезной нагрузки, которая, при нажатии, устанавливала программное обеспечение для удаленного рабочего стола AnyDesk.

Угрожающий субъект осуществил свою атаку почти с “хирургической точностью”. После атаки на Cloudflare по меньшей мере 76 сотрудников получили сообщение в течение первой минуты. Сообщения приходили с различных телефонных номеров. Домен, использованный в атаке, был зарегистрирован всего за 40 минут до этого, что нарушило защиту домена, которую Cloudflare использует для выявления сайтов-самозванцев.

Источник: Ferra