Na terça-feira (09), a companhia de infraestrutura da web Cloudflare informou que ao menos 76 colaboradores e seus familiares receberam mensagens em seus celulares pessoais e de trabalho, com conteúdos parecidos aos ataques phishing que a Twilio sofreu.
Essas ameaças aconteceram no mesmo tempo em que o portal de comunicação digital, Twilio, foi atacado. No caso da Cloudflare, as mensagens chegaram de outros quatros números de celulares, que estão ligados a cartões SIM criados pela T-Mobile.
As mensagens encaminhadas possuíam um domínio que parecia legítimo,
com as seguintes palavras em seu texto “Cloudflare” e “Okta”. Era assim
que os hackers tentaram burlar os trabalhadores da Cloudflare, para que
eles enviassem suas credenciais.
Segundo a Cloudflare, foram encaminhadas mais de 100 mensagens logo após 40 minutos que o domínio não autorizado foi registrado via Porkbun. Além disso, a página de phishing foi criada para retransmitir os dados obtidos e serem inseridos por usuários ao invasor via Telegram em tempo real.
Com isso, os invasores poderiam derrotar os bloqueios da 2FA, já que
os códigos de senha de uso único com base no tempo (TOTP) adicionados no
portal falso, autorizando que hackers acessassem a plataforma com as
senhas e TOTPs roubados.
De acordo com a Cloudflare, três de seus colaboradores acabaram caindo no golpe e enviaram suas informações. Porém, ressaltou que eles conseguiram bloquear uma invasão ao sistema interno pelas chaves de segurança física compatíveis com FIDO2 necessárias para acessar seus aplicativos.
“Como as chaves físicas estão vinculadas aos usuários e implementam a vinculação de origem, mesmo uma operação de phishing sofisticada e em tempo real como essa não pode reunir as informações necessárias para fazer login em nenhum de nossos sistemas”, afirmou Cloudflare. “Enquanto o invasor tentou fazer login em nossos sistemas com as credenciais de nome de usuário e senha comprometidas, eles não conseguiram ultrapassar o requisito de chave física.”
Apesar de tudo, essas invasões não são apenas tentativas de roubo de credenciais, informações e códigos TOTP. Caso um trabalhador passe da página de login, a etapa de phishing foi criada para baixar automaticamente o software de acesso remoto do AnyDesk, que, se instalado, pode ser usado para comandar o sistema da vítima.
Isso ocorreu alguns dias depois que a plataforma Twilio informou o
ataque de hackers em seu sistema, usando credenciais de funcionários
para ter acesso e obter contas de usuários.
Fonte:
The Hacker News
--------------------------------------------------------------------------------------
Enfim, gosta do Portal Vovo GaTu😍? Siga-nos nas redes sociais.
Fique por dentro das noticias, e nao perca nada!😄 Contamos consigo!
Herley costa: