A inizio agosto Twilio è stata oggetto di un sofisticato attacco phishing. L’operazione 0ktapus ha coinvolto attori malevoli che hanno ottenuto l’accesso agli accounts di 93 utenti individuali del suo servizio Authy two-factor authentication (2FA).
“L’attacco a Twilio”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è parte di una più ampia operazione, soprannominata 0ktapus dai ricercatori dell’azienda di sicurezza Group-IB”.
Indice degli argomenti
Operazione 0ktapus: l’attacco in cifre
Twilio ha avvertito che l’accesso non autorizzato ha permesso agli avversari di registrare dispositivi aggiuntivi a quegli account. Inoltre, ha identificato e rimosso i device aggiunti illegittimamente dagli account attaccati.
Authy, acquisita da Twilio nel febbruaio 2015, permette di salvaguardare gli account online con un livello di sicurezza secondario per prevenire i takeover attacks contro gli account. Si stima che il servizio vanti circa 75 milioni di utenti.
Twilio ha anche osservato che l’indagine dello scorso 24 agosto ha contato 163 clienti affetti, in rialzo rispetto ai 125 del 10 agosto, i cui account sono stati hackerati per un periodo limitato di tempo.
Group-IB ritiene che l’operazione 0ktapus abbia colpito 136 imprese, incluse Klaviyo e MailChimp. Inoltre, non ha avuto successo l’attacco contro Cloudflare, respinto grazie all’uso dei token di sicurezza hardware aziendali.
“Questa operazione è la dimostrazione dell’efficacia dell’ingegneria sociale”, continua Paganini, “soprattutto se coadiuvata da procedure di phishbait e dall’adozione di sofisticati phishing kit“.
“Un aspetto interessante di questa campagna”, sottolinea l’esperto di cyber security, “è la capacità degli attaccanti di aggirare i processi di autenticazione a più fattori. Purtroppo, l’utilizzo di processi di autenticazione multipla non ci mette completamente a riparo dai numerosi attacchi che quotidianamente ci colpiscono e quest’aspetto è spesso trascurato anche da esperti del settore”.
Attacco alla supply chain: i dettagli
“La supply chain può essere compromessa in vari modi”, afferma Sam Curry, Chief Security Officer di Cybereason: “La violazione di Twilio ci deve servire da monito per ricordare che l’industria della cybersecurity deve continuamente migliorare, essere più intelligente e più veloce, e comprendere le distinte base e i componenti, nonché offrire maggiori opzioni per patch virtuali, aggiornamenti, attivazione e disattivazione di corpi di codice, auditing e così via. Come per il cibo, è importante sapere da dove provengono gli ingredienti, le implicazioni a monte e a valle della catena, ed essere in grado di adattarsi per garantire che il mercato abbia sempre scelte e opzioni alimentari”.
Violazione a Signal a causa dell’attacco a Twilio
L’attacco a Twilio ha consentito la violazione a 1900 utenti di Signal. Gli attaccanti hanno cercato anche tre numeri specifici e informazioni collegate ad essi. Inoltre gli aggressori hanno sfruttato l’accesso a Twilio per registrare di nuovo un dispositivo associato al numero della vittima, uno dei tre numeri cercati. Ciò ha permesso agli hacker di inviare e ricevere messaggi dall’account Signal vittima della violazione.
Per evitare nuove violazioni, le potenziali vittime devono configurare la funzione Blocco registrazione, impostando un codice PIN per aggiungere un nuovo dispositivo.
Adesso Signal spedisce messaggi con un collegamento a una pagina di supporto per gli utenti interessati, oltre a effettuare la disconnessione di tutti i dispositivi collegati.
Come proteggersi dagli attacchi all’autenticazione a più fattori
Serve maggiore consapevolezza per difendersi dal phishing e da attacchi ogni giorno più sofisticati e micidiali.
“Occorre adottare sistemi di difesa a più livelli”, conclude Paganini, “che integrino i processi di autenticazione multipla a soluzioni anti-phishing, ma che soprattutto includano percorsi di formazione adeguati contro le minacce per i dipendenti delle organizzazione”.
“Per essere veramente efficaci come Defender”, conclude Sam Curry, “dobbiamo identificare rapidamente e rispondere alle operazioni malevole con precisione chirurgica, rendendo l’impresa di domani a prova di futuro. Dobbiamo rilevare prima e rimediare più velocemente; pensare, adattarsi e agire più rapidamente di quanto gli attaccanti possano modificare le loro tattiche; ed essere in grado, come Defender, di identificare, intercettare ed eliminare sempre le minacce emergenti nel giro di pochi minuti anziché giorni o settimane”.
Metodo e strategia, infine, rappresentano i fattori fondamentali in ogni approccio che punta al consolidamento della security in reti e sistemi aziendali. Serve, infatti, un approccio olistico alla cyber security, dove alla componente tecnologica si affianca lo human factor. Solo così, affiancandola alla gestione di endpoint, identità, infrastruttura e dati, diventa prioritaria la formazione delle risorse in materia di security awareness.
