La società di software Retool ha dichiarato che gli account di 27 clienti cloud hanno subito una violazione. La compromissione della sincronizzazione cloud di Google Authenticator MFA, dopo un attacco mirato e multi-stage di social engineering e smishing.
La piattaforma di sviluppo di Retool è utilizzata per creare software aziendali, dalle startup alle aziende Fortune 500, tra cui Amazon, Mercedes-Benz, DoorDash, NBC, Stripe e Lyft.
“L’incidente di cui parliamo”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “dimostra che gli attacchi di ingegneria sociale sono in grado di prendere di mira la componente umana di qualsiasi organizzazione e pertanto molto pericolosi”. Ecco come proteggersi.
Indice degli argomenti
La violazione ai danni di Google Authenticator MFA
Snir Kodesh, responsabile dell’ingegneria di Retool, ha rivelato che tutti gli account dirottati appartengono a clienti del settore delle criptovalute.
La violazione è avvenuta il 27 agosto, dopo che gli aggressori hanno aggirato diversi controlli di sicurezza utilizzando il phishing via SMS e l’ingegneria sociale per compromettere l’account Okta di un dipendente IT.
L’attacco ha sfruttato un URL che impersonava il portale di identità interno di Retool. I cyber criminali lo hanno sferrato durante una migrazione dei login a Okta annunciata in precedenza.
Mentre la maggior parte dei dipendenti presi di mira ha ignorato l’SMS di phishing, uno ha cliccato sul link malevolo. Il link di phishing, infatti, reindirizzava a un falso portale di login con un modulo di autenticazione a più fattori (MFA).
“Sempre di più, i cybercriminali tendono a variare le armi che hanno a disposizione con l’obiettivo di mettere in difficoltà le aziende che prendono di mira”, evidenzia Stuart Jones, Director, Cloudmark Division di Proofpoint: “E la messaggistica SMS resta un canale importante da sfruttare, come mostrano le tendenze riscontrare sul campo. Proofpoint ha infatti registrato un aumento delle segnalazioni di smishing superiore al 500% se si confronta il secondo trimestre 2023 con il primo dello stesso anno”.
Dopo aver effettuato l’accesso, l’aggressore ha simulato la voce di un dipendente e ha chiamato il membro del team IT preso di mira, inducendolo a fornire un codice MFA aggiuntivo che ha permesso di aggiungere un dispositivo controllato dall’aggressore all’account Okta del dipendente preso di mira.
Infatti “altro aspetto preoccupante di questo attacco è l’uso dell’intelligenza artificiale generativa e dei deepfake“, mette in guardia Paganini, un utilizzo che “sta portando il livello di sofisticazione di tali offensive ad un livello superiore rispetto a quanto visto sino ad oggi”.
Allarme deepfake
“La tecnologia deepfake avrà un ruolo sempre più importante nei cyberattacchi, perché sta diventando sempre più accessibile al pubblico”, avverte Lucia Milica, resident CISO di Proofpoint.
“Grazie ai generatori di intelligenza artificiale addestrati su enormi database, chiunque può generare deepfake anche con conoscenze tecniche relativamente limitate. Sebbene l’output del modello all’avanguardia abbia ancora i suoi difetti, la tecnologia è in costante miglioramento e i criminali informatici inizieranno a usarla per creare suggestioni irresistibili”, prosegue il resident CISO di Proofpoint.
Come mitigare i rischi
Innanzitutto servono più consapevolezza e “programmi di formazione specifici contro gli attacchi di ingegneria sociale”, sottolinea Paganini. Questi, insieme all’adozione di “un efficiente sistema di gestione della sicurezza delle informazioni (ISMS) possono consentire alle organizzazioni di essere più resilienti contro questo tipo di attacchi”, conclude conclude.
Inoltre le aziende dovrebbero “inviare messaggi importanti e agire rapidamente quando arrivano SMS” che hanno “maggiori probabilità di arrivare a destinazione con successo: le percentuali di clic sugli URL nella messaggistica mobile sono infatti otto volte superiori a quelle delle email”, mette in guardia Stuart Jones, Director, Cloudmark Division di Proofpoint.
Solo consapevolezza ed education infine possono mettere le persone in guardia dai deepfake che “hanno tradizionalmente coinvolto schemi di frode e di compromissione delle email aziendali, ma ci aspettiamo che l’uso si diffonda ben oltre questi inganni. Immaginate il caos che si scatenerebbe sul mercato finanziario nel caso in cui un amministratore delegato o un direttore finanziario di un’importante società, in realtà un deepfake, facesse una dichiarazione clamorosa in grado di far crollare o salire le azioni”, mette in evidenza Lucia Milica, resident CISO di Proofpoint: “Oppure si pensi a come i cybercriminali potrebbero sfruttare la combinazione tra autenticazione biometrica e deepfake per frodi di identità o acquisizione di account. Questi sono solo alcuni esempi, ma sappiamo tutti quanto i criminali informatici possano essere davvero creativi”.
Il motivo del successo dell’hack: la nuova opzione di Google Authenticator MFA
Tuttavia Retool attribuisce il successo dell’hack a una nuova funzione di Google Authenticator che permette agli utenti di sincronizzare i codici 2FA con il proprio account Google.
La funzione era richiesta da tempo e adesso permette di utilizzare i codici 2FA di Google Authenticator su più dispositivi, purché siano tutti collegati allo stesso account.
Tuttavia, Retool punta il dito contro la funzione, anche responsabile della violazione di agosto. Infatti ha permesso all’hacker che ha effettuato il phishing dell’account Google di un dipendente di accedere a tutti i codici 2FA utilizzati per i servizi interni.
“Con questi codici (e la sessione Okta), l’aggressore ha ottenuto l’accesso alla nostra VPN e, soprattutto, ai nostri sistemi di amministrazione interni”, ha dichiarato Kodesh.
Articolo originariamente pubblicato il 18 Set 2023
