A Retool szoftverfejlesztői vállalatot deepfake és smishing technikát is felhasználó kibertámadás érte, amelynek következtében több mint két tucat felhőalapú ügyfélfiókuk kompromittálódott.
A smishing egyfajta adathalász technika, amikor a csalók nem e-mail-en keresztül, hanem az áldozat telefonjára küldött SMS-ben próbálják megtéveszteni az áldozatot.
A Retool nyilatkozata szerint az eset 2023. augusztusi támadás során a kiberbűnözők először célzott adathalász módszerrel megszerezték a cég egy munkatársának adatait. A támadók ennek birtokában már képesek voltak több biztonsági megoldást kijátszaniuk. A Retool úgy véli, hogy a támadók a Google fiók felhőszinkronizációs funkciójával élhettek vissza. A támadás napján több munkavállaló is SMS üzeneteket kapott, amelyekben a támadók az informatikai osztály munkatársainak adták ki magukat. Az SMS egy hivatkozást is tartalmazott, ami úgy tűnt mintha egy belső vállalati portál URL-je lenne.
A legtöbb esetben mindez elég a sikeres támadáshoz, azonban a támadók ezúttal még tovább mentek.
Telefonon is felhívták az alkalmazottat, amely során a támadó az informatikai részleg munkatársának adta ki magát. A kiberbűnözők deepfake technológiával meghamisították egy IT kolléga tényleges hangját, és rávették az alkalmazottat, hogy adja meg számukra a többfaktoros hitelesítési (MFA) kódot.
Ez lehetővé tette a támadó számára, hogy a saját eszközét hozzáadja az alkalmazott fiókjához, így a bűnözők már saját aktív GSuite munkamenettel rendelkeztek. A Google nemrég új funkcióval bővítette a Google Authenticatort, így a program most már a felhőbe is leszinkronizálja az MFA kódokat. Ez a funkció így lehetővé tette a támadók számára, hogy hozzáférjenek az összes aktuális MFA kódhoz. Ezáltal hozzáférést szereztek a vállalati VPN-hez, illetve belső adminisztrációs rendszerekhez is, így összesen 27 ügyfél fiókját tudták feltörni. A kiberbűnözők ezután megváltoztatták a felhasználók e-mail címeit és visszaállították a jelszavaikat.
A vállalat kiemelte, hogy a támadás az MFA kulcsok felhőbe szinkronizálása, illetve megszerzése nélkül sikertelen lett volna. Az amerikai CISA nemrég publikálta a „Cybersecurity Information Sheet (CSI), Contextualizing Deepfake Threats to Organizations” című kiadványt, mely a cikkben szereplő támadási technológiákkal is foglalkozik.
