Una historia de dos phishing: lecciones de los ataques de Spear Phishing por SMS de Twilio y Cloudflare

A medida que surgen detalles sobre los ataques de spear phishing contra Twilio y Cloudflare, queda claro cómo las empresas deben evolucionar continuamente sus políticas de seguridad de acceso para hacer frente a los atacantes sofisticados. A pesar de ser llevado a cabo por el mismo actor malicioso, estos dos ataques pintan imágenes muy diferentes, ya que una organización fue víctima mientras que la otra no.

El 4 de agosto, la empresa de interacción con el cliente, Twilio reveló que a varios de sus empleados les habían robado las credenciales a través de un sofisticado ataque de phishing selectivo basado en SMS. Como resultado, esto llevó a que los actores maliciosos obtuvieran acceso a sus sistemas de datos internos. Los mensajes enviados por mensaje de texto a las víctimas desprevenidas no fueron diferentes a lo que muchas organizaciones ven todos los días, notificando al empleado que su contraseña debía restablecerse y proporcionando un enlace. Sin embargo, estos actores de amenazas aportaron un nivel único de ingeniería social que no se ve a menudo al hacer coincidir los nombres de los empleados con sus números de teléfono.

Desafortunadamente para Twilio, después de que las credenciales de varios empleados se vieran comprometidas, los atacantes pudieron obtener acceso a sus sistemas críticos. Luego, los atacantes accedieron a los datos de los clientes de Twilio. Si bien la compañía informa que se violaron los datos de alrededor de 125 clientes, el ataque desencadenó una cadena de eventos que llevó al servicio de mensajería encriptada de extremo a extremo Signal a revelar la información de aproximadamente 1,900 usuarios. Señalun cliente de Twilio, se encuentra actualmente en el proceso de alertar a todos los clientes afectados.

El 9 de agosto, la red de entrega de contenido y la empresa de mitigación de DDoS Llamarada de la nube informaron que ellos también habían sido objeto del mismo ataque de phishing. Este intento de ataque había tenido lugar a principios de este año el 20 de julio. Pero, a diferencia de Twilio, el uso de Cloudflare de claves de seguridad físicas compatibles con FIDO2 evitó que se usaran credenciales comprometidas para acceder a los sistemas de datos. En el lapso de un minuto, más de 100 empleados de Cloudflare recibieron mensajes de ingeniería social de texto similares, citando la necesidad de hacer clic en un enlace para tomar medidas. Cuando se les solicitó iniciar sesión, los empleados proporcionaron sus credenciales a los atacantes, quienes no pudieron usarlas debido al aumento de los procedimientos de seguridad en torno al acceso.

El equipo de seguridad de Cloudflare recibió informes de los intentos de ataques y pudo analizar la amenaza a sus sistemas y trabajar con servicios externos para eliminar la amenaza a sus empleados y datos. Dentro de los 45 minutos posteriores al ataque, se restablecieron todas las credenciales de los empleados comprometidos.

Las historias de Twilio y Cloudflare son muy diferentes, pero ambas pintan un panorama sombrío de la realidad moderna de la infraestructura de seguridad empresarial y la inclusión de sistemas avanzados de seguridad móvil. Las claves de los reinos proverbiales en ambas situaciones son los terminales móviles que se encuentran muy lejos de las protecciones de seguridad tradicionales de las empresas.

Entonces, ¿qué podemos aprender de ambos ataques de Spear Phishing por SMS?

La capacitación en seguridad solo llega hasta cierto punto: Ya sean Traiga su propio dispositivo (BYOD) o propiedad de la empresa, estos dispositivos móviles están en manos de empleados que, a pesar de la capacitación en seguridad, aún fueron víctimas de convincentes ataques de phishing. Los ataques de phishing especialmente diseñados con páginas de destino legítimas dieron credibilidad a estos ataques. Los malintencionados eran organizados y metódicos, utilizaban números de teléfono de EE. UU. y adjuntaban nombres a los mensajes de texto de sus víctimas objetivo. Los atacantes hicieron su tarea, recopilaron información sobre sus posibles víctimas y atacaron al unísono con la esperanza de que al menos una persona cayera en la trampa. Desafortunadamente, en ambos casos, engañaron con éxito a varios empleados.

El phishing es independiente del sistema operativo: Mediante el uso de comunicaciones basadas en SMS, estos atacantes pudieron apuntar directamente a dispositivos Android e iOS. El phishing es independiente de los sistemas operativos y depende del error humano para un ataque exitoso y, en el caso del phishing móvil, el elemento adicional de pantallas pequeñas, seguridad limitada proporcionada por el OEM y usuarios distraídos aumenta las posibilidades de un ataque exitoso. Una vez que se entrega la URL de phishing, todo lo que se necesita es que un usuario haga clic y envíe sus credenciales para que los sistemas empresariales estén en riesgo. Y según nuestra investigaciónlos sitios web de phishing amigables y específicos para dispositivos móviles representan el 75% de todos los ataques de phishing.

El móvil es solo un componente de los ataques cibernéticos: Los ataques cibernéticos bien planificados se parecen mucho a fichas de dominó seguidas; cada pieza que cae conduce a la caída de la siguiente pieza. Twilio y Cloudflare no lograron proteger el componente móvil de su superficie de ataque, lo que permitió a los atacantes engañar a varios empleados para que entregaran sus credenciales. En el caso de estos ataques, comenzó con la recopilación de inteligencia de los empleados y servicios existentes, lo que condujo a la creación de comunicaciones y páginas de destino que imitaban los activos legítimos. A partir de ahí, el ataque de phishing selectivo conduce a credenciales comprometidas y luego al acceso al sistema empresarial (para Twilio). Cada pieza en la cadena de ataque encajó en su lugar, siendo el móvil el componente direccionable más grande que quedó desprotegido.

Conclusión: la necesidad de una defensa contra amenazas móviles para proteger los terminales móviles

La gracia salvadora de Cloudflare en este ataque fue su dependencia de claves de seguridad físicas para el acceso de los empleados, pero esta capa de seguridad no se adopta universalmente en todas las empresas. En estos días, muchas empresas han pasado de las claves físicas a los servicios de autenticación multifactor (MFA) que se basan en teléfonos inteligentes y aplicaciones. Pero los dispositivos aún quedan desprotegidos en la mayoría de los casos, y los equipos de seguridad carecen de una visibilidad crítica de las amenazas que apuntan a los terminales móviles como parte de cadenas de ataque más grandes. Ya sea como parte de jugadas de confianza cero o de conocimientos de seguridad avanzados, los dispositivos móviles utilizados por los empleados para acceder a cualquier capa de datos empresariales son cada vez más atacados por actores malintencionados.

Desde la verificación de identidad, las herramientas de comunicación e incluso el acceso a datos críticos, las empresas confían cada vez más en el acceso de sus empleados a los terminales móviles para ser productivos en la fuerza de trabajo distribuida moderna. Y cada dispositivo móvil, ya sea BYOD o propiedad de la empresa, aumenta la superficie de ataque de la empresa más allá de lo que muchos equipos de seguridad pueden monitorear y responder. La gestión de dispositivos móviles es ya no es suficiente y es incapaz de detectar los ataques avanzados que se utilizan hoy en día contra los empleados.

A diferencia de Twilio, Cloudflare estuvo preparado Y tuvo suerte. Pero ambos todavía tenían dispositivos de empleados víctimas de ataques similares. Esta no tiene por qué ser la realidad de las empresas. Con capacidades avanzadas de defensa contra amenazas móviles, las organizaciones tienen la capacidad de protegerse incluso contra los ataques más avanzados en el dispositivo y, al mismo tiempo, proporcionar datos críticos a los equipos de seguridad para adelantarse a los ataques cibernéticos cada vez más organizados. Desde phishing hasta amenazas de red, desde aplicaciones maliciosas hasta dispositivos comprometidos, es fundamental que las empresas reconozcan que la superficie de ataque móvil es el vector desprotegido más grande para sus datos y acceso.