Questo articolo è stato pubblicato da questo sito
All’inizio di agosto la società di comunicazione Twilio ha subito una violazione che, a quanto riporta l’azienda, ha colpito 163 organizzazioni, lo 0,06 per cento dei suoi 270mila clienti totali. Anche se potrebbe sembrare una percentuale insignificante, a causa del particolare ruolo ricoperto dell’azienda nell’ecosistema digitale le vittime dell’attacco rivestono una grande importanza. L’app di messaggistica sicura Signal, la piattaforma di autenticazione a due fattori Authy e la società di autenticazione Okta sono tra i clienti di Twilio colpiti in modo indiretto dalla violazione.
Twilio fornisce interfacce di programmazione delle applicazioni (Api) attraverso le quali le aziende possono automatizzare i servizi di chiamate ed sms. È, per esempio, il sistema che potrebbe utilizzare un parrucchiere per ricordare ai propri clienti l’appuntamento per un taglio di capelli e far sì che questi rispondano con un messaggio per confermarlo o annullarlo; le organizzazioni possono anche appoggiarsi alla piattaforma per gestire l’invio di codici per l’autenticazione a due fattori tramite messaggistica. Sebbene sia risaputo da tempo che gli sms non rappresentino un modo insicuro per ricevere questi codici, la aziende non hanno ancora abbandonato del tutto la pratica. Anche un’azienda come Authy, il cui prodotto principale è un’app per la generazione di codici di autenticazione, utilizza alcuni servizi di Twilio.
L’attacco
La violazione subita da Twilio, a opera di un attore che è stato ribattezzato “0ktapus” o “Scatter Swine”, è significativa perché dimostra che oltre a fornire agli aggressori un accesso prezioso a una rete bersaglio, le azioni di phishing possono persino dare il via ad attacchi alla catena di approvvigionamento, in cui l’accesso ai sistemi di un’azienda espone anche quelli dei suoi clienti.
“Credo che questo passerà alla storia come uno dei più sofisticati attacchi protratti mai compiuti – ha dichiarato un ingegnere della sicurezza che ha chiesto di rimanere anonimo dal momento che l’azienda per cui lavora ha contratti in essere con Twilio –. È stato un attacco paziente, estremamente mirato e allo stesso tempo esteso. Avere il controllo dell’autenticazione a più fattori significa avere il controllo del mondo“.
Gli aggressori hanno violato Twilio nell’ambito di un’estesa e personalizzata campagna di phishing che ha preso di mira più di 130 organizzazioni. I responsabili dell’attacco hanno inviato sms di phishing ai dipendenti delle aziende bersaglio, spesso spacciandosi per personale del reparto informatico o del team logistico di un’azienda e invitando i destinatari a fare clic su un link per aggiornare la propria password o accedere ai propri account per rivedere una modifica. Twilio riporta che gli url dannosi contenevano parole come “Twilio“, “Okta” o “Sso“(ovvero “single sign-on”) per ingannare gli utenti. I cybercriminali hanno cercato di violare anche la società di infrastrutture Internet Cloudflare, che però all’inizio di agosto ha dichiarato di non essere stata compromessa grazie alle limitazioni all’accesso imposte ai dipendenti e all’uso di chiavi di autenticazione fisiche per i login.
Nuova frontiera dei cyberattacchi
“L’aspetto più rilevante è che in questa campagna sono stati utilizzati gli sms come vettore di attacco iniziale invece delle e-mail – spiega Crane Hassold, direttore di threat intelligence presso Abnormal Security ed ex analista del comportamento digitale per l’Fbi –. Abbiamo iniziato a vedere un maggior numero di attori che abbandonano le e-mail come obiettivo iniziale; man mano che gli avvisi via sms diventano più comuni all’interno delle organizzazioni, i messaggi di phishing di questo tipo avranno più successo. Oggi ricevo in continuazione messaggi di testo dalle diverse aziende con cui lavoro, mentre un anno fa non era così“.
