Khi MFA không còn là MFA - Cách Retool bị tấn công lừa đảo

 (retool.com)
5 điểm bởi GN⁺ 2023-09-14 | 2 bình luận | Chia sẻ qua WhatsApp
  • Vào ngày 29/8/2023, Retool báo cáo rằng 27 tài khoản khách hàng trên đám mây đã bị truy cập trái phép do một cuộc tấn công spear phishing
  • Cuộc tấn công bắt đầu thông qua một chiến dịch lừa đảo dựa trên SMS, trong đó nhân viên nhận được tin nhắn văn bản giả mạo như thể do bộ phận IT gửi về sự cố tài khoản
  • Một nhân viên đã đăng nhập qua liên kết được cung cấp trong tin nhắn, liên kết này dẫn tới một cổng giả có chứa biểu mẫu xác thực đa yếu tố (MFA)
  • Kẻ tấn công giả danh thành viên nhóm IT và gọi điện cho nhân viên để lấy thêm mã MFA, qua đó có thể thêm thiết bị cá nhân vào tài khoản Okta của nhân viên
  • Sau đó, kẻ tấn công có thể tạo MFA Okta của riêng mình, từ đó kích hoạt phiên GSuite trên thiết bị của kẻ tấn công
  • Kẻ tấn công tiếp tục truy cập mọi token MFA trong tài khoản Google đã bị xâm phạm, từ đó truy cập vào các hệ thống nội bộ của Retool và thực hiện tấn công chiếm quyền đối với một số tài khoản khách hàng cụ thể
  • Retool đã phản ứng bằng cách hủy mọi phiên xác thực nội bộ, hạn chế quyền truy cập đối với các tài khoản bị ảnh hưởng, thông báo cho khách hàng bị ảnh hưởng và khôi phục tài khoản của họ về trạng thái ban đầu
  • Các khách hàng on-premise của Retool vận hành trong môi trường "zero trust" và hoàn toàn độc lập nên không bị ảnh hưởng
  • Sự cố này nhấn mạnh điểm yếu của MFA dựa trên OTP phần mềm và các rủi ro liên quan đến tính năng đồng bộ đám mây của Google Authenticator
  • Retool đề xuất Google nên loại bỏ dark pattern của Google Authenticator (buộc người dùng bật đồng bộ đám mây) hoặc cung cấp khả năng để tổ chức có thể vô hiệu hóa tính năng này
  • Công ty nhấn mạnh tầm quan trọng của nhận thức về social engineering và sự cần thiết của các hệ thống có thể ngăn lỗi con người ảnh hưởng đến toàn bộ hệ thống
  • Retool cho biết họ đã triển khai nội bộ các quy trình workflow có con người trong vòng lặp và có kế hoạch đưa chúng vào sản phẩm dành cho khách hàng
  • Công ty khuyến nghị khách hàng hiểu rõ mô hình đe dọa của mình và tích hợp thêm các biện pháp bảo vệ như các luồng escalation yêu cầu phê duyệt từ nhiều nhân viên trước khi thực hiện hành động

Bài viết liên quan

2 bình luận

 
kunggom 2023-09-15

Nếu đúng như mô tả, có vẻ đã có ai đó khá am hiểu tình hình nội bộ công ty thực hiện một đợt spear phishing. Họ không chỉ nắm rõ quy trình nội bộ của công ty mà còn tới mức gọi điện bằng giọng nói deepfake mô phỏng giọng của nhân viên thật. Đã vậy còn vô hiệu hóa OTP bằng tính năng đồng bộ đám mây của Google Authenticator nữa, thật đáng sợ…
 
GN⁺ 2023-09-14
Ý kiến trên Hacker News
  • Bài viết này thảo luận về một cuộc tấn công lừa đảo tinh vi lợi dụng xác thực đa yếu tố (MFA) và sử dụng công nghệ deepfake.
  • Những người bình luận cho rằng mã MFA dựa trên đám mây có điểm yếu, và đề xuất MFA dựa trên SMS như một lựa chọn thay thế an toàn hơn.
  • Tầm quan trọng của đào tạo bảo mật được nhấn mạnh, cùng lời khuyên rằng khi nhận được các yêu cầu thông tin bất ngờ thì nên liên hệ lại với người yêu cầu qua một kênh đáng tin cậy đã biết để xác minh.
  • Có sự hoài nghi về việc công nghệ deepfake thực sự đã được sử dụng trong cuộc tấn công, vì lượng thông tin nội bộ cần thiết là khá lớn.
  • Có ý kiến chỉ trích việc công ty không sử dụng 2FA phần cứng, vốn được xem là an toàn hơn và rẻ hơn.
  • Người ta đặt câu hỏi về việc Google khuyến nghị đồng bộ mã lên đám mây, và đề xuất dùng bản sao lưu được mã hóa cùng FIDO2 để tăng cường bảo mật.
  • OTP (mật khẩu dùng một lần) bị xem là lỗi thời, và các trình xác thực chống phishing như U2F, WebAuthn và Passkeys được khuyến nghị làm giải pháp thay thế.
  • Mức độ tinh vi của cuộc tấn công được nhắc đến, bao gồm việc deepfake giọng nói của nhân viên và nắm rõ các quy trình nội bộ của công ty.
  • Có những lời chỉ trích về thái độ của công ty đối với bảo mật, cùng đề xuất rằng các biện pháp bảo mật cơ bản cần được khắc phục.
  • Việc công bố chi tiết về cuộc tấn công được khen ngợi là dễ tiếp cận và có thể giúp cộng đồng cải thiện các biện pháp bảo mật.
  • Có người đặt câu hỏi làm thế nào kẻ tấn công có thể thu thập đủ bản ghi giọng nói của nhân viên để tạo deepfake, điều này gợi ý khả năng có sự tham gia của người nội bộ.
  • Sự việc này làm dấy lên lo ngại về khả năng các cuộc trò chuyện bị ghi âm và các quy trình nội bộ bị rò rỉ.