警戒すべきサイバー攻撃の事例として、ソフトウェアプロバイダーRetoolへのスピアフィッシング攻撃が行われ、1500万ドル相当の仮想通貨資産が危機にさらされました。攻撃者はRetoolのユーザーの電子メールとパスワードを操作し、27のアカウントに影響を与えましたが、オンプレミスの顧客には影響はありませんでした。
巧妙なスピアフィッシング攻撃の解明
8月27日、名高いソフトウェアプラットフォームであるRetoolは、緻密に計画されたスピアフィッシング攻撃の標的になりました。この攻撃により、Retoolの一部のクラウド顧客には不正なアクセスが行われました。攻撃者は、Retoolの従業員に対してITチームのメンバーを装い、SMSベースのフィッシング攻撃を巧妙に実行しました。
攻撃者は、給与システムとオープンエンロールメントに関連する問題を解決するという欺瞞的な口実を使い、従業員の健康保険適用に関する重要な懸念を悪用しました。攻撃のタイミングはよく計画されており、ログインをOktaに移行するタイミングと重なり、メッセージにはRetoolの内部アイデンティティポータルを模倣したURLが含まれていました。
フィッシング攻撃の詳細
ほとんどの従業員は不正なテキストには反応しませんでしたが、1人の不運な従業員がリンクをクリックし、マルチファクタ認証(MFA)のプロンプトが表示される偽のポータルに移動しました。攻撃者はその後、従業員と電話で会話を開始し、RetoolのITチームのメンバーをなりすますためにディープフェイクの声を使用しました。従業員は疑念が募る中でも、追加のMFAコードを共有し、攻撃者は自分のデバイスを従業員のOktaアカウントに追加することができました。
これにより、攻撃者はアクティブなGSuiteセッションにアクセスできるようになりました。興味深いことに、Googleは最近、MFAコードをクラウドに同期する機能を導入しましたが、これはセキュリティを危険にさらす可能性があります。攻撃者は、MFAコードの同期を促進するGoogleのダークパターンを利用しました。
攻撃の影響
この侵害の影響は、RetoolのVPNおよび管理システムを含む内部システムに広がり、特定の顧客、主に暗号通貨業界からのアカウント乗っ取り攻撃を可能にしました。合計で、攻撃者はユーザーの電子メールを変更し、パスワードをリセットし、27のアカウントに影響を与えました。
侵害が発覚した後、Retoolは迅速に対応しました。内部の認証済みセッションをすべて取り消し、影響を受けたアカウントを保護し、影響を受けた顧客に通知し、アカウントを元の状態に戻しました。特筆すべきは、Retoolのオンプレミスの顧客は影響を受けず、オンプレミスシステムはRetoolのクラウド環境とは独立して動作するためです。
Retoolは、法執行機関および第三者のフォレンジック会社と積極的に協力し、侵害の調査を行っています。この事件は、仮想通貨部門に関わる人々にとって、常に警戒心を持ち、堅牢なセキュリティ対策が重要であることを思い起こさせるものです。仮想通貨の投資を追跡し、最新のサイバーセキュリティの脅威について最新情報を得るために、cryptoview.ioのようなアプリケーションの利用を検討してください。
行動を起こすテキスト
