【資安事件回顧】Twilio遭駭波及163家企業,背後很可能是一起針對身分驗證服務業者而來的大規模供應鏈攻擊

雲端客戶溝通系統Twilio最近面臨資安事故,為此在8月7日公告。他們表示,有人透過網路釣魚簡訊(SMS phishing,Smishing),拿到該公司員工帳密,進而存取內部網路並偷取客戶資料。攻擊者假借密碼過期或是班表變更的理由,要求員工點選簡訊連結進行處理,而能成功騙取部分員工的帳號資料。

事隔數日,另一家雲端服務業者Cloudflare,也傳出員工遭類似攻擊而帳密遭竊,但因搭配使用硬體Token而倖免於難。經過兩個星期的調查,這起網路釣魚攻擊行動受害對象,可能不只Twilio與他們的163個客戶,有些資安業者指出,先前針對Okta客戶的供應鏈攻擊,可能是這起事故的源頭。

Twilio、Cloudflare皆傳出員工遭到釣魚簡訊攻擊

透過SMS簡訊對雲端通訊服務業者用戶進行網釣的事故,最初曝光源於8月7日有一家這類廠商Twilio發布公告,坦承在8月4日這天,察覺部分客戶的帳號資料遭未經授權存取,滲透管道是攻擊者用網釣簡訊,誘導員工不小心提供自己登入系統內部的所需資訊。

令人難辨真假的是,這些簡訊所列出的URL網址,都使用與該公司有關的網域名稱,像是http[:]//twilio-okta.com/、http[:]//twilio-sso.com/,目的 可能是為了降低Twilio員工的戒心,使其不疑有他地依照指示輸入帳密。接著,駭客再將取得的這些員工帳號,用來存取Twilio的客戶資料。

雲端客戶溝通系統Twilio表示,他們的員工收到圖中的網釣簡訊,而不慎上當提供帳密資料,導致該公司內部的系統遭到入侵。值得留意的是,駭客使用了含有Twilio名稱的網域,而使得員工難以察覺異狀。/Twilio

與許多企業遭駭事故的因應方式不同,Twilio不只通報了執法單位,尋求鑑識公司協助調查,該公司也通知發送網釣簡訊的電信服務商,以及釣魚網站的主機代管業者,請求撤銷駭客的帳號。值得留意的是,該公司表示有其他公司也遭到類似攻擊,但通報電信業者與主機代管業者,由其撤銷駭客的帳號與網域後,這些駭客很快就另起爐灶,進行新的攻擊行動,令人防不勝防。

上述的資安通告公布兩天之後,雲端服務業者Cloudflare也反映他們先前面臨類似狀況,7月下旬也遭遇類似的攻擊。

Cloudflare表示,他們的安全團隊在7月20日接獲員工通報,表示自己收到以T-Mobile電話號碼寄送的SMS簡訊,內容指出員工的工作排程已經更新,請收訊者瀏覽Cloudflare-Okta.com網站檢視行事曆。

而且,更奇怪的是,短短1分鐘內,就有76名員工收到這類簡訊,同時,有部分員工的家人也收到簡訊。整體而言,Cloudflare至少有3名員工上當,所幸這些人使用該公司配發的硬體Token,導致駭客無法得逞。

根據Cloudflare的調查,這個釣魚網站用的網域名稱,在簡訊發送的40分鐘之前才申請,由於此網域名稱尚未正式公開,使得Cloudflare的網域監控機制無法發揮作用。一旦員工輸入帳密,釣魚網站就會將資料經由Telegram後送給駭客,並進一步要求員工提供OTP驗證碼。假如駭客通過雙因素驗證,就有可能透過遠端桌面軟體AnyDesk控制受害者裝置。

類似的網釣攻擊也發生在雲端服務業者Cloudflare,駭客先透過惡意簡訊引誘企業員工上當,目的是促使他們在釣魚網站輸入自己的帳密,當駭客側錄到相關資料,會用來入侵受害企業的內部環境。/Cloudflare

雖然Cloudflare在此起攻擊事件算是全身而退,但資安團隊還是封鎖了惡意網域,並重設受害員工的帳密,以及通報網域註冊業者與主機代管業者。

採用Twilio服務的企業證實遭駭

Twilio傳出遭駭後,有些客戶的使用者也被波及。例如,8月17日,即時通訊軟體Signal表示,他們採用Twilio的服務,進行電話號碼的驗證,結果卻有1,900名Signal用戶受影響,而且,駭客有可能用遭外洩的用戶電話號碼,接收或發送這些Signal帳號的訊息。

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

駭客疑似透過Twilio客戶支援控制臺,存取上述Signal用戶資料,並搜尋了其中3個電話號碼,其中之一是已被用於註冊新的Signal帳號。所幸此款即時通訊軟體的通訊記錄,都儲存在用戶裝置上,而未受到這起事故影響。

隔了一週之後,美國餐點外送業者DoorDash發出公告,疑似也跟Twilio遭駭的事故有關。

DoorDash發現有人能透過外部供應商竊得的帳密,取得內部工具的存取權限,曝光的資料包含訂餐者的姓名、送餐地址、電話號碼、電子郵件信箱,以及員工的姓名、電話號碼、電子郵件信箱。

雖然上述公告未提及外部供應商的實際身分,但DoorDash向新聞網站TechChunch透露,Twilio員工遭到網釣簡訊攻擊而導致公司資料外洩的事故,與DoorDash的資料外洩有關,此話一出,引發外界聯想。

鎖定身分驗證服務業者的大規模供應鏈攻擊

經過2星期的調查後,Twilio在8月24日,確定有163家企業或組織受到影響。

其中有93個使用者的雙因素驗證程式Authy帳號遭挾持,駭客將其用於註冊額外的裝置,Twilio已移除駭客登錄的裝置,並呼籲Authy用戶儘速檢查帳號是否出現可疑存取行為,以及確認註冊的裝置名單。

關於Twilio、Cloudflare員工陸續遭網釣簡訊攻擊的狀況,有研究人員認為案情不單純,他們發現背後可能是一起大規模攻擊行動。

在Twilio公布受害規模後,資安業者Group-IB揭露名為0ktapus的網路釣魚攻擊,駭客自今年3月開始,鎖定使用Okta身分驗證解決方案的企業下手,駭客不只試圖取得用戶帳密,用戶收到的雙因素驗證(2FA)的驗證碼,也被用於第二階段的攻擊行動。

根據Group-IB的分析,總共有130個組織受害,攻擊者竊得近1萬筆帳密資料,且大部分都針對美國企業而來,有114個美國組織、5,503筆帳密資料。研究人員指出,不只Twilio、Cloudflare的事故,就連行銷管理業者MailChimp、Klaviyo遭駭,都與0ktapus有關。

根據資安業者Group-IB的調查,有130家採用Okta解決方案的企業遭到網釣攻擊,其中大部分受害的企業(114家),總部都位於美國。/Group-IB

而且,資安業者Group-IB提出的這份說法,後續也得到Okta證實。Okta進一步指出,發起此波攻擊行動的駭客能透過Twilio主控臺,存取少量使用者的電話號碼,以及內含OTP密碼的簡訊內容。

Okta分析駭客足跡與受影響的用戶,而這裡觀察到的結果顯示,駭客透過Twilio控制臺搜尋了38組電話,而它們幾乎都隸屬於同一個組織,意味著這是個極度針對性的攻擊。

依據這樣的狀況而言,Okta推測,駭客事先可能就已透過其他網釣活動,取得這些使用者的帳密,並觸發基於簡訊的多因素認證,企圖藉入侵Twilio系統找到相關的OTP密碼。這些駭客鎖定的攻擊對象,包括科技業者、電信業者,以及與加密貨幣有關的組織,而駭客採用的網域名稱註冊、網站代管服務,都能接受比特幣付款。

對此,Okta也呼籲,企業應採用更嚴謹的身分驗證政策,封鎖陌生網域的存取,並部署使用者異常行為的偵測系統。文周峻佑

https://www.ithome.com.tw/news/152870

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

您可能也會喜歡…