Cloudflare

La société d’infrastructure Web Cloudflare a révélé mardi qu’au moins 76 employés et les membres de leur famille avaient reçu des SMS sur leurs téléphones personnels et professionnels présentant des caractéristiques similaires à celles de l’attaque de phishing sophistiquée contre Twilio.

L’attaque, qui s’est produite à peu près au même moment où Twilio a été ciblé, provenait de quatre numéros de téléphone associés à des cartes SIM émises par T-Mobile et a finalement échoué.

Les messages texte pointaient vers un domaine apparemment légitime contenant les mots-clés « Cloudflare » et « Okta » dans le but de tromper les employés pour qu’ils remettent leurs informations d’identification.

La Cyber-Sécurité

La vague de plus de 100 messages de smishing a commencé moins de 40 minutes après l’enregistrement du domaine escroc via Porkbun, a noté la société, ajoutant que la page de phishing était conçue pour relayer les informations d’identification saisies par les utilisateurs sans méfiance à l’attaquant via Telegram en temps réel.

Phishing

Cela signifiait également que l’attaque pouvait vaincre les barrages routiers 2FA, car le mot de passe à usage unique basé sur le temps (TOTP) les codes saisis sur la fausse page de destination ont été transmis de manière analogue, permettant à l’adversaire de se connecter avec les mots de passe et les TOTP volés.

Publicité

Cloudflare a déclaré que trois de ses employés étaient tombés dans le piège du phishing, mais a noté qu’il était en mesure d’empêcher la violation de ses systèmes internes grâce à l’utilisation de clés de sécurité physiques conformes à la norme FIDO2 nécessaires pour accéder à ses applications.

Smishing

« Étant donné que les clés matérielles sont liées aux utilisateurs et implémentent la liaison d’origine, même une opération de phishing sophistiquée en temps réel comme celle-ci ne peut pas collecter les informations nécessaires pour se connecter à l’un de nos systèmes », a déclaré Cloudflare.

La Cyber-Sécurité

« Alors que l’attaquant a tenté de se connecter à nos systèmes avec le nom d’utilisateur et le mot de passe compromis, il n’a pas pu dépasser l’exigence de clé matérielle. »

De plus, les attaques ne se sont pas contentées de voler les identifiants et les codes TOTP. Si un employé franchissait l’étape de connexion, la page de phishing était conçue pour télécharger automatiquement le logiciel d’accès à distance d’AnyDesk, qui, s’il était installé, pourrait être utilisé pour réquisitionner le système de la victime.

En plus de travailler avec DigitalOcean pour fermer le serveur de l’attaquant, la société a également déclaré qu’elle avait réinitialisé les informations d’identification des employés concernés et qu’elle resserrait sa mise en œuvre de l’accès pour empêcher toute connexion de VPN inconnus, de proxys résidentiels et de fournisseurs d’infrastructure.

Le développement intervient quelques jours après que Twilio a déclaré que des pirates inconnus avaient réussi à hameçonner les informations d’identification d’un nombre non divulgué d’employés et avaient obtenu un accès non autorisé aux systèmes internes de l’entreprise, en les utilisant pour obtenir des comptes clients.


Rate this post
Publicité
Article précédentL’iPhone reçoit une NOUVELLE alerte importante juste à temps pour la canicule – vérifiez la vôtre maintenant
Article suivantCodes YouTube Life – abonnés gratuits, argent comptant et plus
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici