Phishing napadi na Cisco i Twilio
U oba napada, napadači ciljaju na multifaktorsku autentikaciju. U slučaju Twilio, napadači su se predstavljali kao IT odjel Twilia i slali SMS poruke sadašnjim i bivšim zaposlenicima, tražeći od njih da kliknu na poveznicu kako bi ažurirali svoje lozinke ili vidjeli kako se njihov raspored promijenio. Koristeći riječi kao što su "Twilio", "Okta" i "SSO", napadači su pokušali prevariti korisnike da unesu Okta vjerodajnice i 2FA kodove na lažnoj stranici, dopuštajući napadačima neovlašteni pristup informacijama za ograničeni broj Twilio korisničkih računa. Nije poznato koliko je zaposlenika nasjelo na 'phishing' shemu i koje su informacije ugrožene.
Napad na Cisco također je započeo s 'phishing' kampanjom osmišljenom da zaobiđe MFA. Nakon što su dobili pristup lozinkama zaposlenika, napadači su izveli niz sofisticiranih glasovnih 'phishing' napada pod krinkom raznih pouzdanih organizacija pokušavajući uvjeriti žrtvu da prihvati push notifikacije višefaktorske provjere autentičnosti (MFA) koje je pokrenuo napadač. Napadač je u konačnici uspio postići da ciljani korisnik prihvati MFA push, pritom omogućujući napadaču pristup VPN-u.
Kao što je Cisco detaljno opisao u svom Talos blogu, naknadno lateralno kretanje olakšano je tehnikama i taktikama koje se obično koriste u mrežama Microsoft Active Directory-ja, što naglašava inherentne rizike Active Directory-ja, nakon što napadač stekne početno uporište u organizaciji.
Oba napada ilustriraju kako se društveni inženjering koristi za prodiranje u mreže čak i tehnološki potkovanih organizacija, što ukazuje da se inicijative za podizanje svijesti o sigurnosti moraju sve više kombinirati s tehničkim mjerama za zaštitu IT imovine organizacije.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
