Twilio ha confermato che ignoti cybercriminali hanno sottratto i dati di alcuni clienti. Un simile attacco phishing è stato rilevato da Cloudflare contro i suoi dipendenti, ma l’azienda californiana ha bloccato il tentativo con la piattaforma Cloudflare One e l’uso delle chiavi di sicurezza necessarie per accedere ai sistemi interni.
Cloudflare blocca il phishing con FIDO2
Almeno 76 dipendenti di Cloudflare hanno ricevuto un SMS sui loro numeri personali o di lavoro. Non è noto come i cybercriminali hanno ottenuto i numeri. Il messaggio includeva il link ad un dominio che sembrava legittimo (quello di Okta, l’azienda che fornisce il servizio per la gestione delle identità). Cliccando sul link veniva aperta una pagina di phishing simile a quella di Okta, in cui l’utente deve inserire username e password.
L’azienda californiana ha scoperto che le credenziali venivano inviate ai cybercriminali tramite Telegram, insieme al codice TOTP (Time-based One Time Password) usato per l’autenticazione a due fattori. Cloudflare ha confermato che tre dipendenti sono caduti nella trappola, ma non è stato rubato nessun dato perché l’autenticazione a due fattori viene effettuata con una chiave di sicurezza basata su FIDO2.
La pagina di phishing non è stata utilizzata solo per ottenere le credenziali e i codici TOTP, ma anche per distribuire AnyDesk, un tool di accesso remoto che permette di prendere il controllo del computer. Il software non è arrivato su nessun computer di Cloudflare. In ogni caso, i sistemi di protezione avrebbero bloccato automaticamente il download.