Если мы чему-то и научились из сообщений о фишинговых атаках , так это тому, что ни одна компания, организация или учреждение не застрахованы от того, чтобы стать их жертвой. Даже министерство обороны США недавно стало жертвой фишинговой аферы на сумму 23,5 миллиона долларов . Во всяком случае, более крупные организации просто создают более крупные и привлекательные цели, особенно когда этим организациям доверяют значительные объемы данных о клиентах.
Говоря об этом, Twilio, крупная коммуникационная платформа, которая обслуживает интеграцию с передачей голоса по интернет-протоколу (VoIP), объявила на выходных, что подверглась фишинговой атаке. Злоумышленники, стоящие за атакой, смогли получить доступ к некоторым внутренним системам Twilio и просмотреть данные клиентов. По словам Twilio, данные, связанные с этим взломом, связаны с ограниченным количеством учетных записей клиентов.
Компания заключила партнерское соглашение с неназванной судебно-медицинской фирмой для проведения расследования инцидента. Расследование все еще продолжается. Twilio обращается к пострадавшим клиентам, чтобы уведомить их об утечке данных и работать с ними для решения любых проблем, поскольку в ходе расследования раскрываются новые подробности. Клиенты Twilio, с которыми компания напрямую не связалась и не уведомила их, не пострадали от взлома, насколько показывают доказательства, обнаруженные в ходе расследования.
Рассматриваемая атака была смишинг-атакой, которая является сокращением от SMS-фишинга. Злоумышленники провели атакующую кампанию, нацеленную на сотрудников Twilio, а также некоторых других компаний, которые связались с Twilio, чтобы сообщить об аналогичных атаках. Атака основывалась на сопоставлении имен сотрудников и номеров телефонов, чтобы злоумышленники могли связаться с конкретными сотрудниками Twilio с помощью узконаправленных SMS-сообщений. На изображении выше показаны два смишных сообщения, полученных сотрудником Twilio, и сообщения, полученные другими сотрудниками, были похожи по своему характеру.
Сообщения ложно информировали сотрудников об истечении срока действия паролей, изменениях в расписании или других подобных уведомлениях, которые требовали от сотрудников входа в систему для просмотра или устранения причины уведомления. Сообщения побуждали сотрудников Twilio открывать ссылки на URL-адреса, содержащие такие слова, как «Twilio», «SSO» (единый вход) и «Okta», которая является платформой идентификации, используемой Twilio. Сотрудников, посетивших эти URL-адреса, встретила веб-страница, имитирующая страницу входа Twilio.
Очевидно, что некоторые сотрудники были обмануты этой атакой и ввели свои учетные данные на поддельные страницы входа, контролируемые злоумышленниками. Смишные сообщения были отправлены с телефонных номеров, принадлежащих сетям операторов связи США, и Twilio работала с операторами связи, а также с хостинг-провайдерами, обслуживающими URL-адреса, использованные в атаке, чтобы остановить вредоносную кампанию. Группа реагирования на инциденты безопасности Twilio обязалась публиковать дополнительные обновления в блоге Twilio, если есть какие-либо изменения, о которых следует знать клиентам.