L’entreprise d’interactions cloud Twilio a en fait annoncé que certains de ses employés avaient été victimes d’hameçonnage et que les agresseurs avaient utilisé les informations d’identification saisies pour accéder à certains systèmes internes de l’entreprise et à des informations sur les consommateurs.
Ce qui s’est passé ?
Les agresseurs se sont fait passer pour le service informatique de Twilio et ont envoyé un SMS aux employés actuels et anciens de Twilio, leur demandant de cliquer sur un lien pour mettre à jour leurs mots de passe ou vérifier comment leur emploi du temps a réellement changé.
« Les URL utilisaient des mots composés de « Twilio », « Okta » et « SSO » pour tenter et tromper les utilisateurs de cliquer sur un lien les menant à une page de destination qui imitait la page de connexion de Twilio, » l’affaire discutée. En saisissant leurs informations d’identification Okta et leurs codes 2FA sur la page, ils les ont fournis avec succès aux agresseurs.
La société n’indique pas quand l’attaque a eu lieu, juste qu’elle a pris conscience d’un accès non autorisé à informations relatives à « un nombre minimal » de comptes clients Twilio le 4 août 2022. Quel type d’informations a été consulté, l’entreprise n’a pas précisé. Il n’a pas non plus indiqué combien d’employés sont tombés dans le piège de l’hameçonnage.
Les consommateurs concernés ont été alertés et une société de médecine légale extérieure a été contactée pour aider à examiner l’infraction.
L’attaque a été dans le cadre d’un projet plus vaste
Apparemment, les travailleurs de Twilio n’étaient pas les seuls visés par ces opposants.
« Nous avons en fait entendu dire par d’autres entreprises qu’eux aussi étaient soumis à des sanctions comparables attaques, et ont en fait coordonné notre réaction aux étoiles de danger, notamment en collaborant avec des opérateurs [américains] pour arrêter les messages malveillants, ainsi qu’avec leurs bureaux d’enregistrement et sociétés d’hébergement pour fermer les URL destructrices. les acteurs ont continué à faire appel à des fournisseurs et à des fournisseurs d’hébergement pour reprendre leurs attaques », a déclaré la société.
Selon Tech Crunch, les agresseurs ont tenté les mêmes techniques contre les travailleurs d’une entreprise Web américaine, un sous-traitant informatique société et un fournisseur de service client.
« Nous avons de nouveau mis l’accent sur notre formation à la sécurité pour garantir que les travailleurs sont en état d’alerte élevée pour les attaques d’ingénierie sociale, et avons fourni des avis de sécurité sur les stratégies particulières utilisées par les acteurs destructeurs étant donné qu’ils ont commencé à apparaître il y a plusieurs semaines. Nous avons également mis en place une formation de sensibilisation obligatoire supplémentaire sur les attaques d’ingénierie sociale au cours des dernières semaines », a déclaré Twilio, mais cela n’a évidemment pas suffi à empêcher certains employés de se faire avoir.
L’entreprise affirme qu’ils le sont également « examiner des précautions techniques supplémentaires au fur et à mesure que l’examen progresse. » Espérons que cela indique que – pour n’en nommer que quelques-unes – ils passeront à une alternative 2FA qui ne peut pas être hameçonnée (par exemple, gadgets d’authentification matérielle / secrets de sécurité physiques) .
Alors que les assaillants sont, comme le dit Twilio, efficaces et systématiques, l’élégance de cette campagne d’attaque tourne principalement autour du fait que les agresseurs avaient la capacité de « faire correspondre les noms des employés des sources avec leurs numéros de téléphone . »
Twilio a déjà subi une violation d’informations en avril 2021, en conséquence directe de la compromission de la chaîne d’approvisionnement Codecov, et un autre événement de sécurité en juillet 2020 qui a conduit des opposants à injecter du code destructeur dans leur T bibliothèque askRouter JS SDK.
Toute l’actualité en temps réel, est sur L’Entrepreneur
