บริษัท กว่า 130 แห่งยุ่งเหยิงในแคมเปญฟิชชิ่งที่หลอกลวงระบบการตรวจสอบสิทธิ์แบบหลายปัจจัย
การโจมตีแบบกำหนดเป้าหมายบนพนักงานของ Twilio และ Cloudflare นั้นเชื่อมโยงกับแคมเปญฟิชชิ่งขนาดใหญ่ ซึ่งส่งผลให้บัญชี 9,931 บัญชีในองค์กรกว่า 130 แห่งถูกบุกรุก แคมเปญนี้เชื่อมโยงกับการใช้ข้อมูลประจำตัวและการเข้าถึง บริษัท Okta ในทางที่ผิดซึ่งได้รับชื่อเล่น 0ktapus โดยนักวิจัย
“เป้าหมายหลักของผู้คุกคามคือการได้รับข้อมูลประจำตัวของ Okta และรหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) จากผู้ใช้ขององค์กรเป้าหมาย” นักวิจัย Group-IB เขียน ในรายงานล่าสุด. “ผู้ใช้เหล่านี้ได้รับข้อความที่มีลิงก์ไปยังไซต์ฟิชชิ่งที่เลียนแบบหน้าการตรวจสอบสิทธิ์ Okta ขององค์กร”
บริษัทที่ได้รับผลกระทบคือบริษัทในสหรัฐฯ 114 แห่ง โดยมีเหยื่อรายอื่นๆ กระจายไปทั่วอีก 68 ประเทศ
Roberto Martinez นักวิเคราะห์ข่าวกรองภัยคุกคามอาวุโสของ Group-IB กล่าวว่าขอบเขตของการโจมตียังไม่เป็นที่ทราบแน่ชัด “แคมเปญ 0ktapus ประสบความสำเร็จอย่างเหลือเชื่อ และอาจไม่ทราบถึงขนาดเต็มรูปแบบมาระยะหนึ่งแล้ว” เขากล่าว
สิ่งที่แฮกเกอร์ 0ktapus ต้องการ
เชื่อกันว่าผู้โจมตี 0ktapus ได้เริ่มการรณรงค์โดยกำหนดเป้าหมายไปยังบริษัทโทรคมนาคมโดยหวังว่าจะชนะการเข้าถึงหมายเลขโทรศัพท์ของเป้าหมายที่เป็นไปได้
แม้จะไม่แน่ใจอย่างแน่ชัดว่าผู้คุกคามได้รับรายชื่อหมายเลขโทรศัพท์ที่ใช้ในการโจมตีที่เกี่ยวข้องกับ MFA อย่างไร นักวิจัยทฤษฎีหนึ่งตั้งข้อสังเกตว่าผู้โจมตี 0ktapus เริ่มต้นแคมเปญที่กำหนดเป้าหมายไปยังบริษัทโทรคมนาคม
“[A] จากข้อมูลที่ถูกบุกรุกซึ่งวิเคราะห์โดย Group-IB ผู้โจมตีเริ่มการโจมตีโดยกำหนดเป้าหมายที่ผู้ให้บริการโทรศัพท์มือถือและบริษัทโทรคมนาคม และสามารถรวบรวมตัวเลขจากการโจมตีครั้งแรกเหล่านั้นได้” นักวิจัยเขียน
ต่อมา ผู้โจมตีส่งลิงก์ฟิชชิ่งไปยังเป้าหมายผ่านทางข้อความ ลิงก์เหล่านั้นนำไปสู่หน้าเว็บที่เลียนแบบหน้าการตรวจสอบสิทธิ์ Okta ที่นายจ้างของเป้าหมายใช้ เหยื่อถูกขอให้ส่งข้อมูลประจำตัว Okta นอกเหนือจากรหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่พนักงานใช้เพื่อรักษาความปลอดภัยในการเข้าสู่ระบบ
ในเอกสารประกอบ บล็อกทางเทคนิคนักวิจัยจาก Group-IB อธิบายว่าการประนีประนอมในขั้นต้นของบริษัทซอฟต์แวร์ในฐานะผู้ให้บริการส่วนใหญ่เป็นขั้นตอนแรกในการโจมตีแบบหลายง่าม เป้าหมายสูงสุดของ 0ktapus คือการเข้าถึงรายชื่อผู้รับจดหมายของบริษัทหรือระบบที่ติดต่อกับลูกค้าโดยหวังว่าจะอำนวยความสะดวกในการโจมตีห่วงโซ่อุปทาน
ในเหตุการณ์ที่เกี่ยวข้องที่อาจเกิดขึ้น ภายในไม่กี่ชั่วโมงหลังจากที่ Group-IB เผยแพร่รายงานเมื่อปลายสัปดาห์ที่แล้ว บริษัท DoorDash เปิดเผยว่ามีจุดมุ่งหมายในการโจมตีด้วยคุณลักษณะทั้งหมดของการโจมตีแบบ 0ktapus
รัศมีระเบิด: การโจมตีของ MFA
ใน โพสต์บล็อก DoorDash เปิดเผย; “บุคคลที่ไม่ได้รับอนุญาตใช้ข้อมูลประจำตัวที่ถูกขโมยไปของพนักงานผู้ขายเพื่อเข้าถึงเครื่องมือภายในบางอย่างของเรา” ผู้โจมตีตามโพสต์ดังกล่าว ได้ขโมยข้อมูลส่วนบุคคล รวมถึงชื่อ หมายเลขโทรศัพท์ อีเมล และที่อยู่ในการจัดส่ง จากลูกค้าและผู้จัดส่ง
ในระหว่างการหาเสียง ผู้โจมตีได้บุกรุกรหัส MFA 5,441 รหัส Group-IB รายงาน
“มาตรการรักษาความปลอดภัย เช่น MFA อาจดูปลอดภัย… แต่ชัดเจนว่าผู้โจมตีสามารถเอาชนะพวกเขาได้ด้วยเครื่องมือที่ค่อนข้างง่าย” นักวิจัยเขียน
“นี่เป็นการโจมตีแบบฟิชชิ่งอีกรูปแบบหนึ่งที่แสดงให้เห็นว่าฝ่ายตรงข้ามสามารถเลี่ยงการพิสูจน์ตัวตนแบบหลายปัจจัยได้ง่ายดายเพียงใด” Roger Grimes ผู้เผยแพร่ศาสนาด้านการป้องกันที่ขับเคลื่อนด้วยข้อมูลที่ KnowBe4 เขียนในแถลงการณ์ทางอีเมล “การย้ายผู้ใช้จากรหัสผ่านฟิชชิ่งอย่างง่ายไปเป็น MFA ที่สามารถฟิชชิ่งได้อย่างง่ายดายนั้นไม่มีประโยชน์ เป็นการทำงานหนัก ทรัพยากร เวลา และเงินจำนวนมาก โดยไม่ได้รับผลประโยชน์ใดๆ เลย”
เพื่อลดแคมเปญแบบ 0ktapus นักวิจัยได้แนะนำสุขอนามัยที่ดีเกี่ยวกับ URL และรหัสผ่านและการใช้ FIDO2- คีย์ความปลอดภัยที่สอดคล้องกับ MFA
ไกรมส์แนะนำว่า "ไม่ว่าจะใช้ MFA อะไรก็ตาม" ผู้ใช้ควรได้รับการสอนเกี่ยวกับประเภทการโจมตีทั่วไปที่กระทำต่อรูปแบบของ MFA วิธีการรับรู้การโจมตีเหล่านั้นและวิธีตอบสนอง เราทำเช่นเดียวกันเมื่อเราบอกให้ผู้ใช้เลือกรหัสผ่าน แต่อย่าเมื่อเราบอกให้พวกเขาใช้ MFA ที่ปลอดภัยกว่าที่คาดคะเน”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :มี
- :เป็น
- :ไม่
- 114
- 9
- a
- เกี่ยวกับเรา
- การล่วงละเมิด
- เข้า
- การจัดการการเข้าถึง
- ตาม
- บัญชี
- ข้าม
- นักแสดง
- นอกจากนี้
- เพิ่มเติม
- ที่อยู่
- ให้คำแนะนำ
- กับ
- ทั้งหมด
- an
- นักวิเคราะห์
- วิเคราะห์
- และ
- อื่น
- ใด
- ปรากฏ
- เป็น
- รอบ
- AS
- At
- โจมตี
- การโจมตี
- การยืนยันตัวตน
- BE
- รับ
- เริ่ม
- เริ่ม
- กำลัง
- เชื่อว่า
- ประโยชน์
- แต่
- by
- รณรงค์
- แคมเปญ
- CAN
- ชัดเจน
- CloudFlare
- รหัส
- มุ่งมั่น
- ร่วมกัน
- บริษัท
- บริษัท
- ที่ถูกบุกรุก
- ได้
- ประเทศ
- หลักสูตร
- หนังสือรับรอง
- ลูกค้า
- ข้อมูล
- ที่ขับเคลื่อนด้วยข้อมูล
- ป้องกัน
- การจัดส่ง
- do
- ทำ
- Dont
- DoorDash
- อย่างง่ายดาย
- ง่าย
- อีเมล
- พนักงาน
- ผู้สอนศาสนา
- เผง
- อธิบาย
- อำนวยความสะดวก
- บริษัท
- บริษัท
- มุ่งเน้น
- สำหรับ
- ฟอร์ม
- ราคาเริ่มต้นที่
- เต็ม
- ได้รับ
- ที่ได้รับ
- ได้รับ
- เป้าหมาย
- ดี
- บัญชีกลุ่ม
- แฮกเกอร์
- จุดเด่น
- ยาก
- การทำงานอย่างหนัก
- มี
- he
- หวัง
- ชั่วโมง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- เอกลักษณ์
- การระบุตัวตนและการจัดการการเข้าถึง
- in
- อุบัติการณ์
- รวมทั้ง
- เหลือเชื่อ
- ข้อมูล
- แรกเริ่ม
- Intelligence
- ภายใน
- IT
- ITS
- jpg
- กุญแจ
- ที่รู้จักกัน
- ชื่อสกุล
- ปลาย
- นำ
- การเชื่อมโยง
- รายการ
- รายการ
- การเข้าสู่ระบบ
- Lot
- ทางไปรษณีย์
- การจัดการ
- มาก
- อาจ..
- มาตรการ
- ข้อความ
- ไอ้เวรตะไล
- บรรเทา
- โทรศัพท์มือถือ
- เงิน
- ข้อมูลเพิ่มเติม
- ส่วนใหญ่
- ย้าย
- การตรวจสอบหลายปัจจัย
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- ชื่อ
- ไม่
- ตัวเลข
- ได้รับ
- ที่ได้รับ
- of
- ตกลง
- on
- ONE
- ผู้ประกอบการ
- or
- organizacja
- องค์กร
- ของเรา
- เกิน
- เอาชนะ
- ภาพรวม
- หน้า
- พรรค
- รหัสผ่าน
- คน
- ส่วนบุคคล
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- แคมเปญฟิชชิ่ง
- เว็บไซต์ฟิชชิ่ง
- โทรศัพท์
- เลือก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- โพสต์
- ที่มีศักยภาพ
- ประถม
- การประกาศ
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- รับรู้
- แนะนำ
- ที่เกี่ยวข้อง
- สัมพัทธ์
- รายงาน
- รายงาน
- นักวิจัย
- แหล่งข้อมูล
- ตอบสนอง
- ส่งผลให้
- เปิดเผย
- กล่าวว่า
- เดียวกัน
- ขนาด
- ขอบเขต
- ปลอดภัย
- ความปลอดภัย
- ระดับอาวุโส
- ส่ง
- น่า
- การแสดง
- ง่าย
- ง่ายดาย
- สถานที่ทำวิจัย
- บาง
- บางคน
- ข้อความที่เริ่ม
- คำแถลง
- ยังคง
- ที่ถูกขโมย
- ส่ง
- ที่ประสบความสำเร็จ
- อย่างเช่น
- ระบบ
- ระบบ
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- สอน
- โทรคมนาคม
- บอก
- ข้อความ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ทฤษฎี
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคามที่ชาญฉลาด
- ผูก
- เวลา
- ไปยัง
- เครื่องมือ
- Twilio
- ชนิด
- ที่สุด
- ไม่ทราบ
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- การใช้
- ผู้ขาย
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- คือ
- we
- สัปดาห์
- ไป
- คือ
- เมื่อ
- ที่
- การชนะ
- กับ
- ภายใน
- งาน
- เขียน
- ยัง
- ลมทะเล