Soy reportero de seguridad y me engañó un phishing descarado


Agrandar / Este definitivamente no es un mouse Razer, pero entiendes el punto. Últimamente ha habido una serie de ataques de phishing que han sido tan quirúrgicamente precisos y bien ejecutados que han logrado engañar a algunas de las personas más sensibles que trabajan en la industria de la ciberseguridad. El lunes, martes y miércoles, el proveedor de autenticación de dos factores Twilio, la red de entrega de contenido Cloudflare y el fabricante de equipos de red Cisco dijeron que los phishers en posesión de los números de teléfono de los empleados y los familiares de los empleados engañaron a los empleados para que entregaran sus credenciales. Los phishers obtuvieron acceso a los sistemas internos de Twilio y Cisco. Las claves 2FA basadas en hardware de Cloudflare impidieron que los phishers accedieran a sus sistemas. Los phishers eran persistentes, metódicos y claramente habían hecho su tarea. En un minuto, al menos 76 empleados de Cloudflare recibieron mensajes de texto usando varios trucos para engañarlos para que iniciaran sesión en lo que pensaban que era su cuenta de trabajo. El sitio web de phishing usó un dominio (cloudflare-okta.com) que se registró 40 minutos antes de la avalancha de mensajes, lo que impidió que un sistema que usa Cloudflare sea notificado cuando se crean los dominios con su nombre (presumiblemente, porque lleva algún tiempo para que se creen nuevas entradas). poblar). Los phishers también tuvieron la oportunidad de derrotar las formas de 2FA que se basan en contraseñas de un solo uso generadas por aplicaciones de autenticación o enviadas a través de mensajes de texto.

Crear un sentido de urgencia

Al igual que Cloudflare, tanto Twilio como Cisco recibieron mensajes de texto o llamadas telefónicas, también enviados bajo la premisa de que circunstancias urgentes (un cambio repentino en un horario, una contraseña vencida o una llamada bajo la apariencia de una organización confiable) requerían que el objetivo actuara. rápidamente. Me tocó a mí el miércoles. A las 3:54 p. m., hora del Pacífico, recibí un correo electrónico que decía ser de Twitter y me informaba que acababan de verificar mi cuenta de Twitter. Inmediatamente sospeché porque no había solicitado la verificación y en realidad no quería hacerlo. Pero los encabezados mostraban que el correo electrónico provenía de twitter.com, el enlace (que abrí en Tor en una computadora segura) iba al sitio real de Twitter.com y no reclamaba nada en el correo electrónico o en la página vinculada a mí. proveer información. También noté que de repente apareció una marca en mi página de perfil. Satisfecho de que el correo electrónico fuera genuino, publiqué mi sorpresa en Twitter a las 3:55 am.

Segundos después, a las 3:56, recibí un mensaje directo que decía ser del departamento de verificación de Twitter. Decía que para que mi verificación fuera permanente, tenía que responder al mensaje con mi licencia de conducir, pasaporte u otra identificación emitida por el gobierno. Tengo fuertes sentimientos sobre la inadecuación de Twitter, una empresa que ha sido pirateada al menos tres veces y ha admitido haber hecho un mal uso de los números de teléfono de los usuarios, para solicitar este tipo de datos. Estaba loco. Fue hacia el final de mi jornada laboral. Todavía me sorprendió el regalo inesperado y genuino de Twitter de un tic, que no pedí. Entonces, sin leer el DM detenidamente, twitteé una captura de pantalla, junto con un comentario cínico sobre que Twitter no es confiable.

La cosa es que el DM usó un inglés roto; el identificador de usuario se denominó Soporte seguido de una serie de números; la cuenta ha sido bloqueada. El mensaje directo es un ejemplo de libro de texto de un ataque de phishing con todas las características de una estafa. Entonces, ¿por qué mi primera impresión fue que esta noticia era real? Hay un par de razones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.