La società di infrastrutture web Cloudflare ha reso noto martedì che almeno 76 dipendenti e i loro familiari hanno ricevuto messaggi di testo sui loro telefoni personali e di lavoro con caratteristiche simili a quelle del sofisticato attacco di phishing contro Twilio.
L’attacco, avvenuto più o meno nello stesso periodo in cui Twilio è stato preso di mira, proveniva da quattro numeri di telefono associati a schede SIM emesse da T-Mobile e alla fine non ha avuto successo.
I messaggi di testo puntavano a un dominio apparentemente legittimo contenente le parole chiave “Cloudflare” e “Okta” nel tentativo di ingannare i dipendenti e indurli a consegnare le loro credenziali.
L’ondata di oltre 100 messaggi di smishing ha avuto inizio meno di 40 minuti dopo la registrazione del dominio illecito tramite Porkbun, ha osservato l’azienda, aggiungendo che la pagina di phishing era progettata per trasmettere le credenziali inserite dagli ignari utenti all’aggressore tramite Telegram in tempo reale.
Ciò significava anche che l’attacco poteva sconfiggere i blocchi 2FA, poiché i codici Time-based One Time Password (TOTP) inseriti nella falsa pagina di destinazione venivano trasmessi in modo analogo, consentendo all’avversario di accedere con le password e i TOTP rubati.
Cloudflare ha dichiarato che tre dei suoi dipendenti sono caduti nello schema di phishing, ma ha fatto notare che è riuscita a impedire che i suoi sistemi interni venissero violati grazie all’uso di chiavi di sicurezza fisiche conformi a FIDO2, necessarie per accedere alle sue applicazioni.
“Poiché le chiavi fisiche sono legate agli utenti e implementano il vincolo di origine, anche un’operazione di phishing sofisticata e in tempo reale come questa non può raccogliere le informazioni necessarie per accedere a nessuno dei nostri sistemi”, ha dichiarato Cloudflare.
“L’aggressore ha tentato di accedere ai nostri sistemi con le credenziali di nome utente e password compromesse, ma non è riuscito a superare il requisito della chiave rigida”.
Inoltre, gli attacchi non si sono limitati a rubare le credenziali e i codici TOTP. Se un dipendente superava la fase di login, la pagina di phishing era progettata per scaricare automaticamente il software di accesso remoto di AnyDesk che, se installato, poteva essere utilizzato per comandare il sistema della vittima.
Oltre a collaborare con DigitalOcean per chiudere il server dell’aggressore, l’azienda ha dichiarato di aver resettato le credenziali dei dipendenti colpiti e che sta rafforzando l’implementazione dell’accesso per impedire qualsiasi accesso da VPN sconosciute, proxy residenziali e fornitori di infrastrutture.
Questo sviluppo giunge pochi giorni dopo che Twilio ha dichiarato che ignoti hacker sono riusciti a carpire le credenziali di un numero imprecisato di dipendenti e hanno ottenuto un accesso non autorizzato ai sistemi interni dell’azienda, utilizzandolo per entrare in possesso degli account dei clienti.
