Phishing napadi na Cisco i Twilio

U oba napada, napadači ciljaju višefaktorsku autentifikaciju. U slučaju Twilio, napadači su se predstavljali kao Twilio IT odeljenje i slali tekstualne poruke sadašnjim i bivšim zaposlenima, tražeći od njih da kliknu na link da ažuriraju svoje lozinke ili da vide kako se njihov raspored promenio. Koristeći reči kao što su „Twilio“, „Okta“ i „SSO“, napadači su pokušali da prevare korisnike da unesu Okta akreditive i 2FA kodove na lažnoj stranici, omogućavajući napadačima da dobiju neovlašćeni pristup informacijama za ograničeni broj Twilio korisničkih naloga. Nije poznato koliko je zaposlenih palo na 'phishing' šemu i koje informacije su kompromitovane.

Napad na Cisco je takođe započeo 'phishing' kampanjom dizajniranom da zaobiđe MFA. Nakon što su dobili pristup lozinkama zaposlenih, napadači su sproveli niz sofisticiranih glasovnih 'phishing' napada pretvarajući se da su različite organizacije od poverenja pritom pokušavajući da ubede žrtvu da prihvati push obaveštenja višefaktorske autentifikacije (MFA) koja je inicirao napadač. Napadač je na kraju uspeo da natera ciljanog korisnika da prihvati MFA push, čime je omogućio napadaču pristup VPN-u.

Kao što je Cisco detaljno opisao u svom Talos blogu, naknadno lateralno pomeranje je olakšano tehnikama i taktikama koje se obično koriste u mrežama Microsoft Active Directory-ja, što naglašava inherentne rizike Active Directory-ja, nakon što napadač dobije početno uporište u organizaciji.

Oba napada ilustruju kako se društveni inženjering koristi za prodor u mreže čak i tehnološki pametnih organizacija, što ukazuje na to da inicijative za podizanje svesti o bezbednosti moraju sve više da se kombinuju sa tehničkim merama za zaštitu IT imovine organizacije.