Cloudflare je detaljno opisao kako je phishing napao prevarene zaposlenike - i kaže da napadači ciljaju i na druge tvrtke.
Cloudflare ima detaljno opisao ono što opisuje kao "ciljani phishing napad" protiv svog osoblja koje je bilo spriječeno u nanošenju štete jer su svi zaposlenici dužni koristiti provjera autentičnosti s više faktora (MFA) u obliku fizičkih sigurnosnih ključeva za pristup aplikacijama.
To je značilo da čak i s ispravnim korisničkim imenima i lozinkama, napadači nisu mogli pristupiti računima i nijedan sustav nije bio ugrožen.
Prema istraživačima kibernetičke sigurnosti u Cloudflareu koji su analizirali napad, radilo se o sofisticiranom napadu ciljajući zaposlenike i sustave "na takav način za koji vjerujemo da bi većina organizacija vjerojatno bila prekršeno".
Cloudflare je detaljno opisao što se dogodilo jer vjeruju da je krivac još uvijek vani i cilja na više organizacija.
Incident je započeo 20. srpnja kada je primljeno najmanje 76 zaposlenika Cloudflarea
phishing slali su poruke na svoje poslovne ili osobne telefone koje su izgledale kao poruke koje upućuju na nešto što je izgledalo kao Cloudflareova Okta stranica za prijavu. Začudo, neke od phishing poruka poslane su i članovima obitelji nekih od zaposlenika.VIDJETI: Pobjednička strategija za kibernetičku sigurnost (ZDNet posebno izvješće)
Nije poznato kako je napadač došao do telefonskih brojeva, ali poruke – koje su sve poslane u roku od jedne minute – tvrdile su da je 'vaš Cloudflare raspored je ažuriran' i uputio mete da kliknu na Okta domenu službenog izgleda za Cloudflare koja je od svakoga tko je posjeti tražila da unese svoje korisničko ime i lozinka. Ako je netko tko je kliknuo na poveznicu to učinio, proslijedio je svoje korisničko ime i lozinku napadačima.
Prema Cloudflareu, tri zaposlenika koja su primila phishing poruku nasjela su na nju i unijela svoje vjerodajnice. Međutim, napadači nisu mogli učiniti ništa s ukradenim podacima za prijavu zbog Cloudflareovog zahtjeva da zaposlenici koriste hardverski ključ kada se prijavljuju.
Postojao je i dodatni element phishing poruka namijenjenih preuzimanju softver za daljinski pristup na žrtvin stroj, što bi napadaču omogućilo daljinsku kontrolu. Međutim, Cloudflare kaže da niti jedna žrtva u tvrtki nije dosegla ovu fazu i da bi njihovi sigurnosni sustavi krajnjih točaka spriječili instaliranje neovlaštenog softvera.
Nakon što je otkrio napad nakon što su ga prijavili zaposlenici koji su primili sumnjive poruke, Cloudflare je blokirao phishing domenu kako bi spriječio zaposlenike da joj pristupe.
Tvrtka je također identificirala zaposlenike koji su primili phishing tekstualne poruke i slijedili vezu za unos svojih vjerodajnica. Tim su zaposlenicima poništene lozinke i odjavljeni su sa svih aktivnih sesija kako bi se spriječio svaki neovlašteni pristup.
Cloudflare je također brzo uklonio domenu korištenu u phishing napadima – postavljenu manje od sat vremena prije početka kampanje. Tvrtka je također iskoristila incident kako bi ugradila dodatne mehanizme detekcije u svoju obranu kako bi pomogla u identificiranju bilo kojeg budućih kampanja istih napadača – ove su informacije također podijeljene s drugim organizacijama koje su ciljano.
VIDJETI: Ovi ransomware hakeri su odustali kada su pogodili višefaktorsku autentifikaciju
Iako je phishing napad uspješno zaustavljen od nanošenja štete, Cloudflare kaže da još uvijek postoje lekcije koje može se naučiti iz incidenta, uključujući kako je "imati paranoičnu kulturu bez okrivljavanja ključna za sigurnost".
“Svi smo mi ljudi i griješimo. Od ključne je važnosti da ih, kada to učinimo, prijavimo i ne zataškavamo. Ovaj incident pružio je još jedan primjer zašto je sigurnost dio posla svakog člana tima u Cloudflareu", priopćila je tvrtka.
Cloudflare također kaže da incident pokazuje koliko je učinkovito korištenje fizičkih ključeva za osiguranje ljudi i mreža, jer unatoč tome što su napadači uspješno dobili pristup legitimnim vjerodajnicama za prijavu, nedostatak ključa značio je da nisu mogli iskoristiti to. "Nismo vidjeli nikakve uspješne phishing napade otkako smo objavili hard ključeve", rekao je Cloudflare.
Istraživači sugeriraju da bi oni koji stoje iza ove kampanje još uvijek mogli biti vani i pokušavati ciljati drugi – a Cloudflare se nada da će dijeljenjem onoga što se dogodilo pomoći drugim žrtvama da ostanu zaštićeni napadi.
VIŠE O KIBERSIGURNOSTI
- Sljedeća velika sigurnosna prijetnja gleda nam u lice. Suočavanje s tim bit će teško
- Google Cloud: kada su u pitanju cyber rizici, svi smo u tome zajedno
- Ovo su najveće prijetnje kibernetičkoj sigurnosti. Pazite da ih ne ignorirate
- Hakeri se sada dulje skrivaju unutar mreža. To nije dobar znak
- Ne dopustite da vaš izbor kibernetičke sigurnosti u oblaku ostavi otvorena vrata za hakere