Retool, sebuah perusahaan pengembangan perangkat lunak terkemuka, baru-baru ini mengungkapkan bahwa 27 pelanggan cloud-nya menjadi korban serangan phishing berbasis SMS yang ditargetkan.
Pelanggaran ini telah menimbulkan kekhawatiran tentang keamanan fitur sinkronisasi cloud, khususnya sinkronisasi cloud Google Authenticator.
Retool Menjadi Mangsa Serangan SMS Phishing yang Ditargetkan
Serangan tanggal 27 Agustus dimulai dengan kampanye SMS phishing yang menipu yang ditujukan kepada karyawan Retool. Individu jahat tersebut berpura-pura menjadi anggota tim TI dan mendesak penerima untuk mengklik tautan yang tampaknya sah untuk mengatasi masalah terkait penggajian. Salah satu karyawan tertipu trik ini dan berakhir di halaman login palsu dengan formulir autentikasi multi-faktor yang kredensial loginnya dicuri.
Setelah mereka mendapatkan detail login karyawan tersebut, mereka melangkah lebih jauh dengan menghubungi orang tersebut secara langsung. Dengan menggunakan teknologi deepfake yang canggih, mereka secara meyakinkan meniru suara anggota tim TI dan menipu karyawan tersebut agar mengungkapkan kode autentikasi multifaktor.
Situasi berubah karena penggunaan fitur sinkronisasi cloud Google Authenticator oleh karyawan, yang memungkinkan penyerang mendapatkan akses ke sistem administratif internal. Selanjutnya, mereka menguasai akun milik 27 pelanggan dalam industri cryptocurrency.
Salah satu klien yang terkena dampak, Fortress Trust, menderita kerugian besar, dengan cryptocurrency senilai sekitar $15 juta dicuri akibat pelanggaran tersebut.
Pemerintah AS Mengeluarkan Peringatan Atas Ancaman Deepfake
Penggunaan teknologi deepfake dalam serangan ini telah menimbulkan kekhawatiran di kalangan pemerintah AS. Sebuah peringatan baru-baru ini memperingatkan tentang potensi penyalahgunaan deepfake audio, video, dan teks untuk tujuan jahat, seperti serangan kompromi email bisnis (BEC) dan penipuan mata uang kripto.
Meskipun identitas para peretas masih dirahasiakan, taktik yang digunakan mirip dengan aktor ancaman bermotivasi finansial yang dikenal sebagai Scattered Spider, atau UNC3944, yang dikenal dengan teknik phishingnya yang canggih.
Mandiant, sebuah perusahaan keamanan siber, berbagi wawasan tentang metode para penyerang, dengan menyatakan bahwa mereka mungkin menggunakan akses ke lingkungan korban untuk meningkatkan kampanye phishing mereka. Hal ini melibatkan pembuatan domain phishing baru dengan nama sistem internal, seperti yang diamati dalam beberapa kasus.
Kodesh menekankan pentingnya insiden ini dan menekankan risiko sinkronisasi kode satu kali ke cloud. Hal ini membahayakan faktor “sesuatu yang dimiliki pengguna” dalam autentikasi multifaktor. Dia menyarankan agar pengguna mempertimbangkan untuk menggunakan kunci keamanan perangkat keras atau kunci sandi yang sesuai dengan FIDO2 untuk memperkuat keamanan terhadap serangan phishing.
Binance Gratis $100 (Eksklusif): Gunakan tautan ini untuk mendaftar dan menerima $100 gratis dan potongan biaya 10% di Binance Futures bulan pertama (ketentuan).
Penawaran Khusus PrimeXBT: Gunakan tautan ini untuk mendaftar & memasukkan kode CRYPTOPOTATO50 untuk menerima hingga $7,000 pada deposit Anda.
Sumber: https://cryptopotato.com/retool-attributes-breach-that-affected-crypto-users-with-googles-authenticator/