Mais de 130 empresas se envolveram em uma ampla campanha de phishing da 0ktapus que falsificou um sistema de autenticação multifator.
Os ataques direcionados a funcionários da Twilio e da Cloudflare estão vinculados a uma campanha de phishing massiva que resultou no comprometimento de 9.931 contas em mais de 130 organizações. As campanhas estão ligadas ao abuso focado da empresa de gerenciamento de identidade e acesso Okta, que ganhou o apelido de 0ktapus por pesquisadores.
O principal objetivo dos agentes de ameaças era obter credenciais de identidade Okta e códigos de autenticação multifator (MFA) dos usuários das organizações visadas. Esses usuários receberam mensagens de texto contendo links para sites de phishing que imitavam a página de autenticação Okta de sua organização.
Foram impactadas 114 empresas sediadas nos EUA, com mais vítimas espalhadas em 68 países adicionais.
Acredita-se que os invasores 0ktapus tenham iniciado sua campanha visando empresas de telecomunicações na esperança de obter acesso aos números de telefone dos alvos em potencial.
Embora não saiba exatamente como os hackers obtiveram uma lista de números de telefone usados em ataques relacionados a MFA, uma teoria é que os invasores 0ktapus começaram sua campanha visando empresas de telecomunicações.
Os invasores enviaram links de phishing para alvos por meio de mensagens de texto. Esses links levam a páginas da Web que imitam a página de autenticação do Okta usada pelo empregador do alvo. As vítimas foram então solicitadas a enviar credenciais de identidade Okta, além de códigos de autenticação multifator (MFA) que os funcionários usavam para proteger seus logins.
O objetivo final da 0ktapus era acessar listas de e-mail da empresa ou sistemas voltados para o cliente na esperança de facilitar ataques à cadeia de suprimentos.
Este é mais um ataque de phishing que mostra como é fácil para os adversários ignorarem a autenticação multifatorial supostamente segura.
Para mitigar as campanhas no estilo 0ktapus, recomenda-se uma boa higiene em torno de URLs e senhas e o uso de chaves de segurança compatíveis com FIDO2 para MFA.
Qualquer que seja a MFA que alguém use, o usuário deve ser ensinado sobre os tipos comuns de ataques cometidos contra sua forma de MFA, como reconhecer esses ataques e como responder.
A Inlearn busca trazer as últimas inovações e aplicações de treinamentos para os nossos clientes. Trabalhamos para o sucesso do seu negócio, deste modo, caso o fabricante da tecnologia não tenha um programa oficial de educação, nós construiremos este programa para atender às suas necessidades.
Fonte: threatpost