I et alarmerende cyberangrep har et spear phishing-angrep på programvareleverandøren Retool satt kryptocurrency-verdier verdt $15 millioner i fare. Angriperen manipulerte brukerens e-poster og passord på Retool, og påvirket 27 kontoer, selv om Retools kunder på stedet ikke ble berørt av dette bruddet.
Avdekkingen av det bedragerske spear phishing-angrepet
Den 27. august ble Retool, en anerkjent programvareplattform, målrettet av et godt organisert spear phishing-angrep. Dette angrepet resulterte i uautorisert tilgang for noen av Retools skykunder. Angriperen utførte smart et SMS-basert phishing-angrep, der han utga seg for å være et medlem av IT-teamet til Retool-ansatte.
Angriperen brukte en bedragersk påskudd og hevdet å løse et problem relatert til lønnssystemer og åpen registrering, og utnyttet dermed en kritisk bekymring for ansatte – helseforsikring. Angrepet ble planlagt på riktig tidspunkt og sammenfalt med overføringen av pålogginger til Okta, og meldingen inneholdt en URL som imiterte Retools interne identitetsportal.
En Nærmere Titt på Phishing-angrepet
De fleste ansatte interaksjonerte ikke med den svindleriske teksten, men en uheldig ansatt klikket på lenken, som førte til en falsk portal med flerfaktorautentisering (MFA) forespørsler. Angriperen initierte deretter en telefonsamtale med den ansatte og brukte en deepfake-stemme for å utgi seg for å være et medlem av Retool IT-teamet. Den ansatte, til tross for økende mistanke, delte en ekstra MFA-kode, noe som tillot angriperen å legge til enheten sin i den ansattes Okta-konto.
Dette ga angriperen tilgang til en aktiv GSuite-økt. Interessant nok hadde Google nylig introdusert en funksjon som synkroniserer MFA-koder til skyen, noe som kan kompromittere sikkerheten. Angriperen utnyttet denne sårbarheten, som ble muliggjort av Googles mørke mønstre som promoterte synkronisering av MFA-koder.
Ettervirkningene av Angrepet
Bruddets implikasjoner strakte seg til Retools interne systemer, inkludert VPN og adminsystemer, og muliggjorde et angrep på kontoen til spesifikke kunder, hovedsakelig fra kryptobransjen. Totalt endret angriperen brukerens e-poster og tilbakestilte passord, og påvirket 27 kontoer.
Da bruddet ble oppdaget, handlet Retool raskt. De tilbakekalte alle interne godkjente økter, sikret berørte kontoer, varslet berørte kunder og gjenopprettet kontoene deres til deres opprinnelige tilstand. Retools kunder på stedet ble ikke påvirket, da det lokale systemet opererer uavhengig av Retools sky-miljø.
Retool bekreftet at de aktivt samarbeidet med rettshåndhevelse og et tredjeparts dataetterforskingsfirma for å etterforske bruddet. Dette hendelsen tjener som en påminnelse om viktigheten av konstant årvåkenhet og robuste sikkerhetstiltak i den digitale verdenen, spesielt for de som er involvert i kryptobransjen. For å holde oversikt over dine kryptoinvesteringer og holde deg oppdatert om de nyeste cybersikkerhetstruslene, kan du vurdere å bruke applikasjoner som cryptoview.io.
Begynn å bruke våre verktøy gratis nå.
