Cuando MFA no es MFA: cómo Retool sufrió un ataque de phishing

 (retool.com)
5 puntos por GN⁺ 2023-09-14 | 2 comentarios | Compartir por WhatsApp
  • El 29 de agosto de 2023, Retool informó que 27 cuentas de clientes en la nube fueron accedidas sin autorización debido a un ataque de spear phishing
  • El ataque comenzó mediante phishing basado en SMS, y los empleados recibieron mensajes de texto que aparentaban haber sido enviados por el departamento de TI sobre un problema con la cuenta
  • Un empleado inició sesión a través del enlace proporcionado en el mensaje de texto, que lo dirigió a un portal falso que incluía un formulario de autenticación multifactor (MFA)
  • Los atacantes, haciéndose pasar por miembros del equipo de TI, llamaron al empleado para obtener códigos MFA adicionales, lo que les permitió agregar un dispositivo personal a la cuenta de Okta del empleado
  • Después, los atacantes pudieron crear su propio MFA de Okta, lo que activó una sesión de GSuite desde el dispositivo del atacante
  • Luego, los atacantes accedieron a todos los tokens MFA dentro de la cuenta de Google comprometida, lo que les permitió entrar a los sistemas internos de Retool y realizar ataques de toma de control sobre ciertas cuentas de clientes
  • Retool respondió cancelando todas las sesiones internas de autenticación, restringiendo el acceso a las cuentas afectadas, notificando a los clientes impactados y restaurando sus cuentas al estado original
  • Los clientes on-premise de Retool no se vieron afectados, ya que operan en un entorno de "confianza cero" y son completamente independientes
  • Este incidente resalta las debilidades del MFA basado en OTP por software y los riesgos asociados con la función de sincronización en la nube de Google Authenticator
  • Retool propone que Google elimine los patrones oscuros de Google Authenticator (que inducen a activar la sincronización en la nube) o que proporcione una función para que las organizaciones puedan desactivarla
  • La empresa subraya la importancia de la concientización sobre la ingeniería social y la necesidad de sistemas que eviten que un error humano afecte a todo el sistema
  • Retool ya implementó internamente flujos de trabajo con intervención humana y planea incorporarlos también en su producto para clientes
  • La empresa recomienda que los clientes entiendan su propio modelo de amenazas e integren protecciones adicionales, como flujos de escalamiento para ejecutar acciones o que requieran la aprobación de varios empleados

Lecturas relacionadas

2 comentarios

 
kunggom 2023-09-15

Si fue como se describe, parece que alguien bastante al tanto de la situación interna de la empresa intentó hacer spear phishing.
No solo conocía los procesos internos de la empresa, sino que incluso llegó al punto de hacer una llamada usando una voz deepfake de un empleado real.
Y encima neutralizaron el OTP con la función de sincronización en la nube de Google Authenticator... da miedo.
 
GN⁺ 2023-09-14
Opiniones de Hacker News
  • Este artículo analiza un sofisticado ataque de phishing que abusó de la autenticación multifactor (MFA) y utilizó tecnología de deepfake.
  • Los comentaristas sugieren que los códigos de MFA basados en la nube son vulnerables y recomiendan la MFA basada en SMS como una alternativa más segura.
  • Se enfatiza la importancia de la capacitación en seguridad, y se aconseja contactar al solicitante a través de un canal confiable y conocido para verificar solicitudes de información inesperadas.
  • Se plantean dudas sobre el uso de tecnología deepfake en el ataque, dado el volumen de información interna que habría sido necesario.
  • Hay críticas a que la empresa no haya usado 2FA por hardware, que se considera más seguro y más barato.
  • Se cuestiona que Google recomiende sincronizar códigos en la nube, y se propone usar respaldos cifrados y FIDO2 para mejorar la seguridad.
  • Los OTPs (contraseñas de un solo uso) se consideran obsoletos, y se recomiendan como reemplazo autenticadores resistentes al phishing como U2F, WebAuthn y Passkeys.
  • Se menciona la sofisticación del ataque, que incluyó deepfakes de la voz de empleados y conocimiento de procesos internos de la empresa.
  • Se critica la postura de seguridad de la empresa y se sugiere corregir las medidas básicas de seguridad.
  • La divulgación detallada del ataque es elogiada por ser accesible y por poder ayudar a la comunidad a mejorar sus medidas de seguridad.
  • Se plantean dudas sobre cómo los atacantes consiguieron suficientes grabaciones de la voz de empleados para crear deepfakes, lo que sugiere la posible participación de un insider.
  • Este incidente genera preocupación sobre la posible grabación de conversaciones y la filtración de procesos internos.