la empresa de comunicacion Twilio sufrió una brecha a principios de agosto que, según dice, afectó a 163 de sus organizaciones de clientes. De los 270.000 clientes de Twilio, el 0,06 % puede parecer trivial, pero el papel particular de la empresa en el ecosistema digital significa que esa fracción de víctimas tenía un valor y una influencia descomunales. La aplicación de mensajería segura Signal, la aplicación de autenticación de dos factores Authy y la firma de autenticación Okta son todos clientes de Twilio que fueron víctimas secundarias de la violación.
Twilio proporciona interfaces de programación de aplicaciones a través de las cuales las empresas pueden automatizar los servicios de llamadas y mensajes de texto. Esto podría significar un sistema que usa un barbero para recordar a los clientes sobre los cortes de cabello y pedirles que respondan «Confirmar» o «Cancelar». Pero también puede ser la plataforma a través de la cual las organizaciones administren sus sistemas de mensajería de texto de autenticación de dos factores para enviar códigos de autenticación de un solo uso. Aunque se sabe desde hace mucho tiempo que los SMS son una forma insegura de recibir estos códigos, definitivamente es mejor que nada, y las organizaciones no han podido alejarse por completo de la práctica. Incluso una empresa como Authy, cuyo producto principal es una aplicación de generación de código de autenticación, utiliza algunos de los servicios de Twilio.
La campaña de piratería de Twilio, por un actor que ha sido llamado «0ktapus» y «Scatter Swine», es importante porque ilustra que los ataques de phishing no solo pueden proporcionar a los atacantes un acceso valioso a una red de destino, sino que incluso pueden iniciar ataques a la cadena de suministro. en el que el acceso a los sistemas de una empresa proporciona una ventana a los de sus clientes.
“Creo que esto pasará a ser uno de los hacks de formato largo más sofisticados de la historia”, dijo un ingeniero de seguridad que pidió no ser identificado porque su empleador tiene contratos con Twilio. “Fue un truco paciente que estaba súper dirigido pero era amplio. Pwn la autenticación multifactor, pwn el mundo”.
Los atacantes pusieron en peligro a Twilio como parte de una campaña de phishing masiva pero personalizada contra más de 130 organizaciones en la que los atacantes enviaron mensajes de texto SMS de phishing a los empleados de las empresas objetivo. Los mensajes de texto a menudo afirmaban provenir del departamento de TI o del equipo de logística de una empresa e instaban a los destinatarios a hacer clic en un enlace y actualizar su contraseña o iniciar sesión para revisar un cambio de programación. Twilio dice que las URL maliciosas contenían palabras como «Twilio», «Okta» o «SSO» para hacer que la URL y la página de destino maliciosa a la que se vinculaba parecieran más legítimas. Los atacantes también se dirigieron a la empresa de infraestructura de Internet Cloudflare en su campaña, pero la empresa dijo a principios de agosto que no estaba comprometida debido a sus límites en el acceso de los empleados y el uso de claves de autenticación física para iniciar sesión.
“El punto más importante aquí es el hecho de que se utilizó SMS como vector de ataque inicial en esta campaña en lugar del correo electrónico”, dice Crane Hassold, director de inteligencia de amenazas en Abnormal Security y exanalista de comportamiento digital del FBI. “Hemos comenzado a ver más actores que se alejan del correo electrónico como objetivo inicial y, a medida que las alertas de mensajes de texto se vuelven más comunes dentro de las organizaciones, estos tipos de mensajes de phishing serán más exitosos. Como anécdota, recibo mensajes de texto de diferentes empresas con las que hago negocios todo el tiempo ahora, y ese no era el caso hace un año”.