Phishing napadi na Cisco i Twilio

U oba napada, napadači ciljaju višefaktorsku autentifikaciju. U slučaju Twilio, napadači su se predstavljali kao Twilio IT odjel i slali tekstualne poruke sadašnjim i bivšim zaposlenima, tražeći od njih da kliknu na link da ažuriraju svoje lozinke ili vide kako se njihov raspored promijenio. Koristeći riječi kao što su "Twilio", "Okta" i "SSO", napadači su pokušali prevariti korisnike da unesu Okta akreditive i 2FA kodove na lažnoj stranici, omogućavajući napadačima da dobiju neovlašteni pristup informacijama za ograničeni broj Twilio korisničkih naloga. Nije poznato koliko je zaposlenih palo na 'phishing' šemu i koje su informacije kompromitovane.

Napad na Cisco je takođe započeo 'phishing' kampanjom dizajniranom da zaobiđe MFA. Nakon što su dobili pristup lozinkama zaposlenih, napadači su pokrenuli niz sofisticiranih glasovnih napada na krađu identiteta pod krinkom različitih organizacija od povjerenja u pokušaju da uvjere žrtvu da prihvati push notifikacije višefaktorske autentifikacije (MFA) koje je inicirao napadač. Napadač je na kraju uspio natjerati ciljanog korisnika da prihvati MFA push, čime je omogućio napadaču pristup VPN-u.

Kao što je Cisco detaljno opisao u svom Talos blogu, naknadno lateralno kretanje je olakšano tehnikama i taktikama koje se obično koriste u Microsoft Active Directory mrežama, što naglašava inherentne rizike Active Directory-ja, nakon što napadač dobije početno uporište u organizaciji.

Oba napada ilustruju kako se društveni inženjering koristi za prodor u mreže čak i tehnološki podkovanih organizacija, ukazujući da se inicijative za podizanje svijesti o sigurnosti moraju sve više kombinirati s tehničkim mjerama za zaštitu IT imovine organizacije.