Utilizzando un deepfake vocale di un dipendente 27 aziende sono state violate partendo da un SMS

Redazione RHC : 17 Settembre 2023 16:40

Il mese scorso Retool, un’azienda specializzata nello sviluppo di applicazioni aziendali per i clienti, è stata vittima di un attacco informatico. 27 clienti cloud dell’azienda sono rimasti vittime dell’hacking.

La piattaforma di sviluppo di Retool viene utilizzata per creare software aziendale da aziende che vanno dalle startup alle imprese Fortune 500, tra cui Amazon, Mercedes-Benz, DoorDash, NBC, Stripe e Lyft.

L’hacker ha iniziato il suo attacco inviando SMS a diversi dipendenti di Retool fingendosi membri del team IT, presumibilmente risolvendo problemi con il libro paga e l’assicurazione sanitaria. La maggior parte dei destinatari ha ignorato il messaggio di phishing, ad eccezione di un dipendente.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il dipendente ha quindi cliccato sul link che reindirizzava verso a un portale di accesso falso con un modulo di autenticazione a più fattori (MFA) al quale ha fatto l’accesso.

Una volta acquisite le credenziali di accesso, l’aggressore ha effettuato un deepfake emulando la voce di un dipendente e ha chiamato il membro del team IT preso di mira, inducendolo a fornire un codice MFA aggiuntivo, che ha consentito l’aggiunta di un dispositivo controllato dall’aggressore all’account Okta del dipendente preso di mira.

Questo incidente indica che l’aggressore potrebbe aver già parzialmente ottenuto l’accesso alle risorse Retool prima di questa chiamata. Dopo aver ricevuto il codice di autenticazione a due fattori, l’aggressore ha aggiunto il suo dispositivo all’account del dipendente e ha ottenuto l’accesso al suo account GSuite.

Ciò che è particolarmente pericoloso è che l’app Google Authenticator ha recentemente aggiunto una funzionalità di sincronizzazione cloud. Ciò significa che ora i codici MFA possono essere visualizzati su più dispositivi associati a un account.

Retool ha sottolineato la gravità del problema: “Se il tuo account Google è compromesso, anche i tuoi codici MFA sono a rischio.” Secondo l’azienda è stato l’accesso all’account Google a consentire all’aggressore di penetrare nei sistemi interni dell’azienda.

Retool aveva già negato l’accesso all’hacker, ma ha deciso di divulgare le informazioni sull’accaduto per avvisare altre aziende. 

Hanno inoltre invitato Google a modificare la propria app di autenticazione in modo che le aziende possano facilmente disattivare la funzionalità di sincronizzazione cloud per i propri dipendenti. Google non ha ancora commentato questa situazione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli