Due parole sull’hacking a Twilio (e partners)

L’incidente a Twilio sta movimentando la folla di partner commerciali e preoccupando gli utenti. Una lezione che insegna come l’educazione alla sicurezza sia fondamentale più di ogni altra barriera

Okta da subito ha descritto la campagna e sta seguendo l’attore della minaccia definito come Scatter Swine. Okta ha già analizzato Scatter Swine.

“Scatter Swine ha preso di mira direttamente Okta tramite campagne di phishing in diverse occasioni, ma non è stato in grado di accedere agli account a causa delle forti politiche di autenticazione che proteggono l’accesso alle nostre applicazioni”.

I ricercatori hanno collegato questi attacchi a una più ampia campagna di phishing condotta dallo stesso gruppo di hacker noto come “0ktapus”, che da marzo ha rubato quasi 10.000 credenziali di accesso dei dipendenti da almeno 130 aziende, tra cui Twilio, società Internet e fornitori di servizi clienti in outsourcing.

Il resoconto di Okta include una lunga discussione sulle tattiche, le tecniche e le procedure utilizzate da Scatter Swine, e queste sono interessanti per ciò che rivelano sulla condotta di un attacco di ingegneria sociale, sul modo in cui l’uso intelligente di phishbait e l’impostura vocale convincente si combinino in kit di phishing, con tutte le materie prime per rubare e raccogliere le credenziali degli utenti.

L’attacco a Twilio, che per il momento sembra contenuto in 163 utenti (tutti avvisati dalla società), su un totale di 270.000, ha avuto conseguenze anche sui propri partner commerciali. Nel corso di questo fine settimana il servizio di food delivery DooDash ha confermato un databreach, collegando l’incidente proprio alla campagna in corso contro Twilio, del quale il proprio sistema è partner per l’utilizzo degli SMS di autenticazione.

Stessa preoccupazione è stata espressa anche da Signal, la nota app di messaggistica istantanea che, solo a titolo di trasparenza, ha reso noto come funziona la propria app in relazione a Twilio, anche qui partner per gli SMS di autenticazione.

Coinbase, KuCoin, Binance, Microsoft, Telus, Verizon Wireless, T-Mobile, AT&T, Sprint, Rogers, Mailgun, Slack, Box, SendGrid, Yahoo, Sykes, BestBuy e Infosys sono tra le altre organizzazioni che sono state attaccate. Nessuna di queste aziende, tuttavia, ha dichiarato se gli attacchi hanno avuto un esito di successo.

Roger Grimes, esperto della difesa basata sui dati di KnowBe4, si è concentrato su ciò che l’incidente ha da insegnare alle organizzazioni sui rischi dell’ingegneria sociale:

“Questo è l’ennesimo attacco di phishing che mostra quanto sia facile per gli avversari aggirare la sicura autenticazione a più fattori. Molti leader e organizzazioni della sicurezza informatica stanno propagandando il fatto falso che l’MFA blocca il 99% di tutti gli attacchi di hacking. Non lo fa. Non lo farà mai. Tutte le organizzazioni e gli utenti che intendono utilizzare l’autenticazione a più fattori devono utilizzare moduli resistenti al phishing”, afferma l’esperto.

“Semplicemente non serve a nulla spostare gli utenti da classiche password a MFA facilmente oggetto di phishing. È un sacco di duro lavoro, risorse, tempo e denaro, per non ottenere alcun vantaggio. Qualunque MFA chiunque utilizzi, l’utente dovrebbe essere a conoscenza dei tipi comuni di attacchi che vengono commessi contro la sua forma di MFA, come riconoscere tali attacchi e come rispondere. Facciamo lo stesso quando diciamo agli utenti di scegliere le password, ma non quando diciamo loro di rivolgersi ad un servizio MFA”.

Solo la consapevolezza sulla sicurezza informatica, sembra invece sortire buoni risultati (soprattutto in ambito professionale e lavorativo).