Cloudflare frustra un ataque de phishing por SMS con claves de seguridad

El proveedor de infraestructura de Internet Cloudflare dice que evitó que un esquema de phishing comprometiera la red de la empresa, gracias a las claves de seguridad basadas en hardware que emitió a todos los empleados.

Según Cloudflare, el intento de pirateo probablemente formó parte del mismo esquema de phishing de SMS que violó a Twilio, que la compañía reveló públicamente.(Se abre en una nueva ventana) los lunes.

“Casi al mismo tiempo que se atacó a Twilio, vimos un ataque con características muy similares que también estaba dirigido a los empleados de Cloudflare”, escribió Cloudflare en una publicación de blog.(Se abre en una nueva ventana) el martes. «Este fue un ataque sofisticado dirigido a empleados y sistemas de tal manera que creemos que es probable que la mayoría de las organizaciones sean violadas».

Tanto Twilio como Cloudflare ahora advierten que el esquema de phishing por SMS está dirigido a empleados de varias empresas. El ataque llega a través de mensajes SMS que pretenden provenir del propio empleador. En el caso de Cloudflare, los piratas informáticos engañaron a tres empleados para que escribieran las contraseñas de su empresa en un formulario de inicio de sesión falso.

El formulario de inicio de sesión falso que usaron los piratas informáticos. (Crédito: Cloudflare)

Pero aun así, los atacantes no lograron violar Cloudflare debido a esas claves de seguridad. A diferencia de los códigos de autenticación de dos factores, que se pueden compartir en línea, una clave de hardware es un dispositivo físico. A menudo está diseñado para insertarse en la unidad USB de una PC y agrega un paso adicional en el proceso de inicio de sesión, que no se puede suplantar digitalmente.

En el caso de Cloudflare, esto significaba que los piratas informáticos no podían ingresar, a menos que pudieran robar físicamente una clave de seguridad de uno de los empleados phishing. “Si bien el atacante intentó iniciar sesión en nuestros sistemas con las credenciales de nombre de usuario y contraseña comprometidos, no pudo superar el requisito de la clave física”, dice Cloudflare.

Al menos 76 empleados de Cloudflare recibieron los mensajes SMS de phishing de los atacantes. Los mensajes decían específicamente: “¡Alerta! Su programación de Cloudflare se actualizó. Toque cloudflare-okta.com para ver sus cambios”. Sin embargo, cloudflare-okta.com era en realidad un dominio controlado por piratas informáticos que alojaba una página de inicio de sesión falsa capaz de robar contraseñas.

Los mensajes SMS que los piratas informáticos enviaron a los empleados de Cloudflare. (Crédito: Cloudflare)

La técnica de phishing también fue diseñada para vencer los sistemas de autenticación de dos factores. Cloudflare señala que la página de inicio de sesión falsa del atacante puede mostrar un aviso para los códigos de acceso únicos basados ​​en el tiempo. “El empleado luego ingresaría el código TOTP en el sitio de phishing, y también se lo transmitiría al atacante”, dijo la compañía. «El atacante podría entonces, antes de que caducara el código TOTP, usarlo para acceder a la página de inicio de sesión real de la empresa».

No está claro quién estaba detrás del esquema de phishing por SMS y cómo obtuvieron acceso a los números de teléfono móvil pertenecientes a tantos empleados de Cloudflare. Pero los datos de Cloudflare muestran que el atacante usó una máquina con Windows 10 que ejecuta Mullvad VPN durante los intentos fallidos de inicio de sesión.

La compañía agregó que no ha experimentado una violación desde que implementó llaves de seguridad de hardware para todos los empleados. Para obtener más información sobre cómo funcionan las llaves de seguridad, consulta nuestras reseñas.