\n<\/p>\n
la empresa de comunicacion<\/span> Twilio sufri\u00f3 una brecha a principios de agosto que, seg\u00fan dice, afect\u00f3 a 163 de sus organizaciones de clientes. De los 270.000 clientes de Twilio, el 0,06 % puede parecer trivial, pero el papel particular de la empresa en el ecosistema digital significa que esa fracci\u00f3n de v\u00edctimas ten\u00eda un valor y una influencia descomunales. La aplicaci\u00f3n de mensajer\u00eda segura Signal, la aplicaci\u00f3n de autenticaci\u00f3n de dos factores Authy y la firma de autenticaci\u00f3n Okta son todos clientes de Twilio que fueron v\u00edctimas secundarias de la violaci\u00f3n.<\/p>\n Twilio proporciona interfaces de programaci\u00f3n de aplicaciones a trav\u00e9s de las cuales las empresas pueden automatizar los servicios de llamadas y mensajes de texto. Esto podr\u00eda significar un sistema que usa un barbero para recordar a los clientes sobre los cortes de cabello y pedirles que respondan \u00abConfirmar\u00bb o \u00abCancelar\u00bb. Pero tambi\u00e9n puede ser la plataforma a trav\u00e9s de la cual las organizaciones administren sus sistemas de mensajer\u00eda de texto de autenticaci\u00f3n de dos factores para enviar c\u00f3digos de autenticaci\u00f3n de un solo uso. Aunque se sabe desde hace mucho tiempo que los SMS son una forma insegura de recibir estos c\u00f3digos, definitivamente es mejor que nada, y las organizaciones no han podido alejarse por completo de la pr\u00e1ctica. Incluso una empresa como Authy, cuyo producto principal es una aplicaci\u00f3n de generaci\u00f3n de c\u00f3digo de autenticaci\u00f3n, utiliza algunos de los servicios de Twilio.<\/p>\n La campa\u00f1a de pirater\u00eda de Twilio, por un actor que ha sido llamado \u00ab0ktapus\u00bb y \u00abScatter Swine\u00bb, es importante porque ilustra que los ataques de phishing no solo pueden proporcionar a los atacantes un acceso valioso a una red de destino, sino que incluso pueden iniciar ataques a la cadena de suministro. en el que el acceso a los sistemas de una empresa proporciona una ventana a los de sus clientes.<\/p>\n \u201cCreo que esto pasar\u00e1 a ser uno de los hacks de formato largo m\u00e1s sofisticados de la historia\u201d, dijo un ingeniero de seguridad que pidi\u00f3 no ser identificado porque su empleador tiene contratos con Twilio. \u201cFue un truco paciente que estaba s\u00faper dirigido pero era amplio. Pwn la autenticaci\u00f3n multifactor, pwn el mundo\u201d.<\/p>\n Los atacantes pusieron en peligro a Twilio como parte de una campa\u00f1a de phishing masiva pero personalizada contra m\u00e1s de 130 organizaciones en la que los atacantes enviaron mensajes de texto SMS de phishing a los empleados de las empresas objetivo. Los mensajes de texto a menudo afirmaban provenir del departamento de TI o del equipo de log\u00edstica de una empresa e instaban a los destinatarios a hacer clic en un enlace y actualizar su contrase\u00f1a o iniciar sesi\u00f3n para revisar un cambio de programaci\u00f3n. Twilio dice que las URL maliciosas conten\u00edan palabras como \u00abTwilio\u00bb, \u00abOkta\u00bb o \u00abSSO\u00bb para hacer que la URL y la p\u00e1gina de destino maliciosa a la que se vinculaba parecieran m\u00e1s leg\u00edtimas. Los atacantes tambi\u00e9n se dirigieron a la empresa de infraestructura de Internet Cloudflare en su campa\u00f1a, pero la empresa dijo a principios de agosto que no estaba comprometida debido a sus l\u00edmites en el acceso de los empleados y el uso de claves de autenticaci\u00f3n f\u00edsica para iniciar sesi\u00f3n. <\/p>\n \u201cEl punto m\u00e1s importante aqu\u00ed es el hecho de que se utiliz\u00f3 SMS como vector de ataque inicial en esta campa\u00f1a en lugar del correo electr\u00f3nico\u201d, dice Crane Hassold, director de inteligencia de amenazas en Abnormal Security y exanalista de comportamiento digital del FBI. \u201cHemos comenzado a ver m\u00e1s actores que se alejan del correo electr\u00f3nico como objetivo inicial y, a medida que las alertas de mensajes de texto se vuelven m\u00e1s comunes dentro de las organizaciones, estos tipos de mensajes de phishing ser\u00e1n m\u00e1s exitosos. Como an\u00e9cdota, recibo mensajes de texto de diferentes empresas con las que hago negocios todo el tiempo ahora, y ese no era el caso hace un a\u00f1o\u201d.<\/p>\n<\/div>\n