يقع Retool ضحية لهجوم التصيد الاحتيالي عبر الرسائل النصية القصيرة والذي أثر على 27 من عملاء السحابة. قامت شركة Retool، وهي شركة لتطوير البرمجيات، بالكشف عن أن حسابات 27 من عملاء السحابة لديها قد تم اختراقها بعد هجوم هندسة اجتماعية موجه عبر الرسائل القصيرة.
ألقت الشركة التي تتخذ من سان فرانسيسكو مقراً لها اللوم على ميزة مزامنة حساب Google Cloud التي تم تقديمها مؤخرًا في أبريل 2023 لتفاقم الخرق، ووصفتها بأنها “نمط مظلم”.
وقال سنير كوديش، رئيس الهندسة في Retool: “حقيقة أن Google Authenticator تتم مزامنته مع السحابة يُعد متجه هجوم جديدًا”. “ما قمنا بتنفيذه في الأصل هو المصادقة متعددة العوامل. ولكن من خلال تحديث Google هذا، أصبح ما كان في السابق مصادقة متعددة العوامل صامتًا (للمسؤولين) مصادقة أحادية العامل.”
الحادث وقع في 27 أغسطس.
وقالت Retool إن الحادث، الذي وقع في 27 أغسطس 2023، لم يسمح بالوصول غير المصرح به إلى الحسابات المحلية أو المدارة. كما تزامن ذلك مع نقل الشركة لتسجيل الدخول الخاصة بها إلى Okta.
بدأ الأمر بهجوم تصيد برسائل قصيرة استهدف موظفيها، حيث تنكر الجناة في هيئة عضو في فريق تكنولوجيا المعلومات وطلبوا من المستلمين النقر على رابط يبدو أنه شرعي لمعالجة مشكلة تتعلق بالرواتب.
وقع أحد الموظفين في فخ التصيد، مما أدى إلى نقله إلى صفحة وصول مزيفة خدعته في تسليم بيانات اعتماده. في المرحلة التالية من الهجوم. اتصل المتسللون بالموظف، مرة أخرى منتحلين صفة شخص فريق تكنولوجيا المعلومات من خلال تزوير صوته “الفعلي” للحصول على رمز المصادقة متعددة العوامل (MFA).
وقال كوديش: “كانت رمز OTP الإضافي الذي تمت مشاركته عبر المكالمة أمرًا حاسمًا، لأنه سمح للمهاجم بإضافة جهازه الشخصي إلى حساب الموظف في Okta، مما سمح له بإنتاج رمز MFA الخاص به من Okta من تلك النقطة فصاعدًا”. “هذا مكنهم من الحصول على جلسة نشطة لـ G Suite (الآن Google Workspace) على هذا الجهاز.”
Google Authenticator.
سمحت حقيقة أن الموظف قام أيضًا بتنشيط ميزة المزامنة السحابية لـ Google Authenticator للمهاجمين بالحصول على وصول مرتفع إلى أنظمة إدارة الشركة الداخلية والسيطرة الفعالة على الحسابات التابعة لـ 27 عميلًا في صناعة العملات المشفرة.
قام المهاجمون في النهاية بتغيير البريد الإلكتروني لتلك المستخدمين وإعادة تعيين كلمات المرور الخاصة بهم. أفادت CoinDesk أن Fortress Trust. أحد المستخدمين المتأثرين. شهد سرقة ما يقرب من 15 مليون دولار من العملات المشفرة نتيجة للقرصنة.
وأشار كوديش إلى أن “سيطرة المهاجم على حساب Okta أدت إلى سيطرة المهاجم على حساب Google، مما أدى إلى سيطرة المهاجم على جميع رموز OTP المخزنة في Google Authenticator”.
إذا كان هناك أي شيء، فإن الهجوم المتطور يُظهر أن مزامنة الرموز لمرة واحدة مع السحابة يمكن أن تكسر عامل “ما يمتلكه المستخدم”. مما يتطلب من المستخدمين الاعتماد على مفاتيح الأمان المادية المتوافقة مع FIDO2 أو مفاتيح المرور لإفشال هجمات التصيد.
في حين لم يتم الكشف عن الهوية الدقيقة للمتسللين، فإن طريقة العمل تُظهر أوجه تشابه مع طريقة عمل الجهات الفاعلة في مجال التهديد المدفوعة ماليًا والتي تُعرف باسم Scattered Spider (المعروف أيضًا باسم UNC3944)، والتي تُعرف بتكتيكات التصيد الاحتيالي المتطورة.
كشفت شركة Mandiant الأسبوع الماضي: “استنادًا إلى تحليل نطاقات تصيد الاحتيالي المشتبه بها لـ UNC3944. من المحتمل أن يكون الجهات الفاعلة في مجال التهديد قد استخدمت في بعض الحالات الوصول إلى بيئات الضحايا للحصول على معلومات حول الأنظمة الداخلية واستفادت من تلك المعلومات لتسهيل حملات تصيد احتيالي أكثر ملاءمة”.
“على سبيل المثال. في بعض الحالات. يبدو أن الجهات الفاعلة في مجال التهديد قد أنشأت نطاقات تصيد احتيالي جديدة تضمنت أسماء الأنظمة.
-
توصيات للحماية من هجمات التصيد الاحتيالي:
- استخدام مصادقة متعددة العوامل (MFA) باستخدام مفاتيح الأمان المادية المتوافقة مع FIDO2 أو مفاتيح المرور.
- تجنب النقر على الروابط أو فتح المرفقات من رسائل البريد الإلكتروني غير المعروفة.
- التحقق من عناوين البريد الإلكتروني للمرسل قبل فتح أي شيء.
- التحقق من صحة صفحات تسجيل الدخول قبل إدخال بيانات اعتمادك.
-
توصيات لتحسين أمان المصادقة متعددة العوامل:
- استخدام رمز OTP قصير العمر بدلاً من رمز OTP طويل العمر.
- استخدام ميزة المصادقة متعددة العوامل القائمة على الجهاز (MFA-D).
- استخدام ميزة المصادقة متعددة العوامل القائمة على الموقع (MFA-S).
-
الدروس المستفادة من هذا الحادث:
- مزامنة الرموز لمرة واحدة مع السحابة يمكن أن تكسر عامل “ما يمتلكه المستخدم”.
- يمكن للمهاجمين استخدام تقنيات مثل التصيد الاحتيالي العميق لخداع الضحايا في الكشف عن بيانات اعتمادهم.
- يجب على الشركات اتخاذ خطوات لتعزيز أمن المصادقة متعددة العوامل للحماية من الهجمات.
خاتمة:
يوضح هذا الحادث أهمية اتخاذ تدابير أمنية قوية لحماية بياناتك. من خلال اتباع التوصيات المذكورة أعلاه، يمكنك مساعدة في حماية نفسك من هجمات التصيد الاحتيالي.
يقع Retool ضحية لهجوم التصيد الاحتيالي عبر الرسائل النصية القصيرة والذي أثر على 27 من عملاء السحابة. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.