Во внушительном инциденте кибератаки фишинг-атака на поставщика программного обеспечения Retool поставила под угрозу криптовалютные активы стоимостью 15 миллионов долларов. Злоумышленник манипулировал электронными письмами и паролями пользователей в Retool, затронув 27 аккаунтов, хотя клиенты Retool, использующие локальные системы, не пострадали от этого нарушения.
Раскрытие обманчивой фишинг-атаки
27 августа Retool, известная платформа программного обеспечения, стала целью хорошо организованной фишинг-атаки. Эта атака привела к несанкционированному доступу для некоторых облачных клиентов Retool. Злоумышленник хитро осуществил фишинг-атаку на основе SMS, выдавая себя за сотрудника IT-команды Retool.
Злоумышленник использовал обманчивый предлог, утверждая, что решает проблему, связанную с системами оплаты труда и открытой регистрацией, таким образом эксплуатируя критическую проблему для сотрудников — медицинское страхование. Время атаки было хорошо спланировано, совпадая с миграцией входов в Okta, и сообщение содержало URL, имитирующий внутренний идентификационный портал Retool.
Фишинг-атака: ближе к взгляду
Хотя большинство сотрудников не взаимодействовали с мошенническим текстом, один несчастный сотрудник нажал на ссылку, в результате чего открылся фиктивный портал с запросами многофакторной аутентификации (MFA). Злоумышленник затем начал телефонный разговор с сотрудником, используя голос дипфейка, чтобы выдать себя за члена IT-команды Retool. Сотрудник, несмотря на возрастающие подозрения, поделился дополнительным кодом MFA, что позволило злоумышленнику добавить свое устройство в учетную запись Okta сотрудника.
Это дало злоумышленнику доступ к активной сессии GSuite. Интересно, что Google недавно представил функцию синхронизации кодов MFA в облаке, что может подвергнуть риску безопасность. Злоумышленник воспользовался этой уязвимостью, способствуемой темным паттернам Google, которые поощряли синхронизацию кодов MFA.
Последствия атаки
Последствия нарушения затронули внутренние системы Retool, включая VPN и системы администрирования, позволяя осуществить атаку захвата учетных записей на конкретных клиентов, главным образом из криптовалютной индустрии. Всего злоумышленник изменил электронные письма пользователей и сбросил пароли, затронув 27 аккаунтов.
После обнаружения нарушения Retool действовала быстро. Она отозвала все внутренние аутентифицированные сессии, защитила затронутые аккаунты, уведомила пострадавших клиентов и восстановила их аккаунты в исходное состояние. Отмечается, что клиенты, использующие локальные системы Retool, остались непричиненными вреда, так как система локального размещения работает независимо от облачной среды Retool.
Retool подтвердила, что активно сотрудничает с правоохранительными органами и фирмой по форензике сторонней организации для расследования нарушения. Этот инцидент служит напоминанием о важности постоянной бдительности и надежных мер безопасности в цифровом мире, особенно для тех, кто занимается криптовалютным сектором. Чтобы отслеживать свои криптовалютные инвестиции и быть в курсе последних угроз кибербезопасности, рекомендуется использовать приложения, такие как cryptoview.io.
текст призыва к действию
