Twilio 黑客攻击背后的威胁行为者利用他们的访问权限窃取了 Okta 身份和访问管理公司客户通过 SMS 提供的一次性密码 (OTP)。
Okta 为其客户提供多种形式的服务身份验证,包括通过 Twilio 通过 SMS 提供的临时代码。
通过访问 Twilio 控制台,攻击者可以看到属于 Okta 客户的手机号码和 OTP。
使用 Twilio 搜索 OTP
8 月 4 日,云通信公司 Twilio 发现未经授权的一方访问了其系统和属于其客户的信息。
当时,Twilio 提供了 Okta 用于选择 SMS 作为身份验证因素的客户的服务之一。
8 月 8 日,Okta 获悉 Twilio 黑客攻击暴露了“与 Okta 相关的未指定数据”,并开始通过不同的提供商路由基于 SMS 的通信。
使用 Twilio 安全团队的内部系统日志,Okta 能够确定攻击者可以访问属于其客户的电话号码和 OTP 代码。
“使用这些日志,Okta 的防御性网络运营分析确定,在攻击者访问 Twilio 控制台期间,可以查看两类与 Okta 相关的手机号码和一次性密码”- Okta
该公司指出,OTP 代码的有效期不超过五分钟。
当谈到威胁行为者在 Twilio 控制台中有关其客户的活动时,Okta 区分电话号码的“有针对性”和“偶然暴露”。
该公司表示,入侵者搜索了 38 个电话号码,几乎所有这些电话号码都与一个组织相关联,表明有兴趣访问该客户的网络。
“我们评估攻击者使用之前在网络钓鱼活动中被盗的凭据(用户名和密码)来触发基于 SMS 的 MFA 挑战,并使用对 Twilio 系统的访问来搜索在这些挑战中发送的一次性密码”- Okta
攻击者使用 Twilio 的管理门户搜索了 38 个与 Okta 相关的电话号码,其中显示了通过 Okta 的 Twilio 帐户传递的最新 50 条消息。
这意味着黑客可以看到更多的电话号码。然而,Okta 的调查显示,入侵者并没有使用这些手机号码。
本周早些时候来自 Twilio 的更新显示,黑客访问了 Authy 2FA 帐户 并注册了他们的设备以获取临时令牌。
更大的图片
在过去的几个月里,Okta 观察到攻击者部署了多个网络钓鱼活动以针对多家技术公司,并将其命名为 Scatter Swine。
Scatter Swine 与网络安全公司 Group-IB 报告的0ktapus 网络钓鱼活动背后的对手相同,之所以如此命名,是因为其目标是获取 Okta 身份凭证和双因素身份验证 (2FA) 代码。
该攻击者通过向目标公司的员工发送一条短信,其中包含一个冒充受害者组织的 Okta 身份验证页面的钓鱼网站链接,窃取了近 1,000 次登录以访问公司网络。
Okta 表示,Scatter Swine/0ktapus 可能使用商业数据聚合服务来收集属于科技公司员工、电信提供商和与加密货币相关的个人的手机号码。
典型的 Oktapus 攻击始于向潜在员工发送短信,发送指向网络钓鱼站点的链接,要求提供公司凭据,然后是 2FA 代码。
0ktapus 网络钓鱼攻击
来源:ZZQIDC
所有数据都传送到 Telegram 帐户,该帐户引导 Group-IB 追踪可能来自美国北卡罗来纳州的个人,并且还拥有 Twitter 和 GitHub 帐户。
在本周的报告中,Okta 指出,除了批量发送 SMS 网络钓鱼(数百条消息)外,Scatter Swine 还打电话给目标员工(甚至他们的家人),以了解他们公司的身份验证过程,假装来自支持.
“威胁行为者的口音似乎是北美口音,自信且口齿清晰” – Okta
缓解 0ktapus 攻击
防御针对 2FA 代码的精心设计的社会工程攻击并非易事。一般建议是注意可疑电子邮件和网络钓鱼站点的指标。安全专家还建议使用符合 FIDO 的安全密钥 (U2F)。
实施身份验证策略以根据为客户量身定制的先决条件限制用户访问,并在用户的登录过程偏离先前记录的模式时发出警报,这也可能表明存在恶意尝试。
此外,Okta 建议如下:
使用网络区拒绝或对来自很少使用的网络和匿名代理的请求执行升级身份验证
限制对应用程序的访问仅限于已注册设备或由端点管理工具管理的设备
使用特定于应用程序的身份验证策略限制对最敏感的应用程序和数据的访问
对于想要查找 Scatter Swine SMS 事件(例如身份验证挑战、密码重置或因素注册事件)的客户,Okta 提供了一个系统日志查询 ,该查询显示特定用户的新设备和网络位置。
Okta 的报告还提供了更精细的查询,允许客户检查消息是否来自 Twilio。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Twilio漏洞让黑客看到Okta的一次性MFA密码
