Lunedì la piattaforma di customer engagement Twilio ha reso noto che un “sofisticato” attore di minacce ha ottenuto un “accesso non autorizzato” utilizzando una campagna di phishing basata su SMS rivolta al suo personale per ottenere informazioni su un “numero limitato” di account.
“Questo attacco su larga scala contro la nostra base di dipendenti è riuscito a ingannare alcuni di essi, inducendoli a fornire le loro credenziali”, ha dichiarato l’azienda in una nota. “Gli aggressori hanno poi utilizzato le credenziali rubate per accedere ad alcuni dei nostri sistemi interni, dove hanno potuto accedere ad alcuni dati dei clienti”.
Il gigante delle comunicazioni ha 268.000 account clienti attivi e annovera tra i suoi clienti aziende come Airbnb, Box, Dell, DoorDash, eBay, Glassdoor, Lyft, Salesforce, Stripe, Twitter, Uber, VMware, Yelp e Zendesk. Possiede anche il popolare servizio di autenticazione a due fattori (2FA) Authy.
Twilio, che sta continuando a indagare sull’hack, ha fatto sapere che sta lavorando direttamente con i clienti che sono stati colpiti. Non ha rivelato l’entità dell’attacco, il numero di account dei dipendenti che sono stati compromessi o quali tipi di dati potrebbero essere stati accessibili.
Gli schemi di phishing, sia via e-mail che via SMS, sono noti per basarsi su tattiche aggressive e allarmistiche per costringere le vittime a consegnare le loro informazioni sensibili. Questo caso non fa eccezione.
I messaggi SMS sarebbero stati inviati a dipendenti attuali ed ex dipendenti mascherati come se provenissero dal reparto IT dell’azienda, attirandoli con notifiche di scadenza della password per farli cliccare su link dannosi.
Gli URL includevano parole come “Twilio”, “Okta” e “SSO” (abbreviazione di single sign-on) per aumentare le probabilità di successo e reindirizzavano le vittime a un sito web fasullo che impersonava la pagina di accesso dell’azienda. Non è chiaro se gli account violati fossero protetti da protezioni 2FA.
Twilio ha dichiarato che i messaggi provenivano dalle reti dei vettori statunitensi e che ha collaborato con i fornitori di servizi di telecomunicazione e di hosting per bloccare lo schema e l’infrastruttura di attacco utilizzata nella campagna. Tuttavia, gli sforzi per bloccare la campagna sono stati vanificati dalla migrazione degli aggressori verso altri vettori e provider di hosting.
“Inoltre, gli attori della minaccia sembravano avere una sofisticata capacità di abbinare i nomi dei dipendenti dalle fonti con i loro numeri di telefono”.
L’azienda di San Francisco ha revocato l’accesso agli account dei dipendenti compromessi per mitigare l’attacco, aggiungendo che sta esaminando ulteriori salvaguardie tecniche come misura preventiva.
La rivelazione arriva mentre lo spear-phishing continua a essere una delle principali minacce per le aziende. Il mese scorso è emerso che l’hack di Axie Infinity, costato 620 milioni di dollari, è stato causato da un ex dipendente ingannato da un’offerta di lavoro fraudolenta su LinkedIn.
