Recentemente, a empresa de comunicações em nuvem Twilio anunciou que seus sistemas internos foram violados depois que os invasores obtiveram credenciais de funcionários usando um ataque de phishing por SMS. Na mesma época, a Cloudflare, uma rede de entrega de conteúdo e empresa de mitigação de DDoS, informou que seus funcionários também foram visados, mas seus sistemas não foram comprometidos.
Mais tarde, foi revelado pela Signal, um provedor de aplicativos de mensagens criptografadas e cliente da Twilio, que os invasores usaram uma brecha de segurança para obter números de telefone de 1.900 usuários. Três dos usuários foram identificados e alvos de ataques de phishing adicionais, incluindo Lorenzo Franceschi-Bicchierai, repórter sênior da VICE Motherboard.
De acordo com a Signal, com o número exposto e o acesso ao sistema da Twilio para passae pela autenticação multifator (MFA), o agente da ameaça poderia ter registrado novamente uma conta da vítima para fins de representação.
Para saber mais sobre a violação do Twilio, os pesquisadores do Lookout Threat Lab usaram artefatos conhecidos para ver se poderiam descobrir informações adicionais sobre o invasor por trás disso.
Com base em nossa avaliação da infraestrutura da campanha, além de Twilio e Cloudflare, esse agente de ameaças atingiu mais de 30 organizações nos últimos meses, incluindo funcionários de diferentes setores, como telecomunicações, criptomoeda, atendimento ao cliente e mídia social. No caso do Twilio e do Signal, os invasores pareciam estar procurando direcionar seu ataque para contas específicas, possivelmente para aumentar os esforços de engenharia social ou comprometer alvos adicionais.
Essa violação demonstra como os serviços interconectados estão neese mundo orientado à nuvem, onde os invasores podem pular rapidamente de um alvo para outro.
Sempre que ocorre uma violação precisamos pensar nas lições que podem ser aprendidas. Para ajudá-lo a avaliar sua própria postura de segurança, aqui estão dicas para manter sua organização protegida contra ataques de phishing móvel.
Entenda como o phishing evoluiu
O phishing evoluiu significativamente ao longo dos anos. Claro, os ataques clássicos de comprometimento de e-mail comercial (BEC) ainda são lucrativos, mas a introdução de dispositivos móveis possibilitou inúmeras maneiras de ataques de phishing. Para proteger sua organização, você precisa considerá-los em sua estratégia geral de segurança.
Para induzir os funcionários a entregar suas credenciais, os agentes de ameaças estão aproveitando o fato de que confiamos muito em nossos dispositivos móveis. O funcionário típico está menos inclinado a ser cauteloso quando recebe uma mensagem de texto não solicitada do que se esse mesmo conteúdo for para o e-mail de trabalho. Além disso, os dispositivos móveis, com suas telas menores e interface de usuário simplificada, escondem muitos dos sinais indicadores de um ataque.
Os kits de phishing também são vendidos com frequência no mercado de malware como serviço, oferecendo aos invasores mais recursos do que nunca. Esses kits podem ser relativamente baratos e dão a invasores inexperientes a capacidade de atingir organizações específicas com campanhas de phishing complexas.
Aprenda a identificar red flags
O fato é que os ataques estão cada vez mais eficientes e realistas. Isso torna os sinais mais difíceis de detectar, especialmente em dispositivos móveis. Mas mesmo que as red flags sejam pequenas, elas estão lá se você souber onde procurar.
Em um ataque como este, que aciona uma solução de MFA de funcionários direcionados, a localização na notificação pode estar incorreta. Se um funcionário está localizado em São Francisco e a notificação foi acionada de outro lugar, ele deve negar a solicitação de acesso e notificar sua equipe de segurança imediatamente. Outro sinal seria comunicação anormal. Por exemplo, um dos três usuários do Signal especificamente visados no ataque ao Twilio relatou ter recebido um código de verificação de mensagem de texto no meio da noite.
Sempre que os funcionários receberem mensagens para verificar suas credenciais, eles devem encarar a solicitação com extrema cautela. Se eles não tentaram fazer login em nenhum lugar, eles devem entrar em contato com suas equipes internas de TI e segurança imediatamente para verificar se a comunicação foi válida. Se não for, essas equipes podem conscientizar o restante da empresa sobre ataques de natureza semelhante. Seus funcionários devem sempre levar alguns segundos examinando mensagens com intenção maliciosa, como discrepância de local, palavras com erros ortográficos ou URLs suspeitos. Esses segundos de pensamento crítico podem salvar sua organização de uma violação de dados.
Como as organizações podem permanecer vigilantes
Como os ataques de phishing móvel podem ocorrer por meio de canais fora do controle de sua equipe de segurança – como SMS, mídia social e plataformas de mensagens de terceiros, como WhatsApp – sua organização precisa ficar vigilante para proteger a si e seus funcionários. A violação do Signal demonstra o quão vulneráveis são as organizações a esse tipo de ataque.
O phishing móvel é uma das maneiras mais comuns de os invasores roubarem credenciais de login. Em seguida, eles se voltam e fazem login na infraestrutura de nuvem da organização para obter acesso a dados confidenciais que podem roubar ou criptografar para executar um ataque de ransomware. A maneira como a violação do Twilio se espalhou para afetar os usuários do Signal é um lembrete gritante de que o objetivo de um invasor nem sempre é o serviço que ele comprometeu inicialmente.
Para se manterem seguras, organizações de todos os tipos e tamanhos devem implementar uma plataforma de segurança na nuvem que possa alertá-las sobre um possível ataque cibernético, detectando automaticamente comportamentos anômalos. É fundamental que toda organização tenha recursos avançados de segurança que possam detectar indicadores de atividade maliciosa, além da rede tradicional, especialmente quando os invasores se movem entre diferentes dispositivos, redes e aplicativos para executar seus ataques.
Visite nossa página de solução de phishing para saber mais sobre como você pode proteger sua organização contra ataques de phishing móvel.
