La empresa de software Retool ha revelado que 27 de sus clientes en la nube fueron víctimas de un ataque de ingeniería social basado en SMS.

La vulnerabilidad se agravó debido a la sincronización en la nube de Google Authenticator, que originalmente era un sistema de autenticación multifactor pero se convirtió en autenticación de un solo factor después de una actualización de Google.

El incidente ocurrió el 27 de agosto de 2023 y comenzó con un ataque de phishing SMS en el que los atacantes se hicieron pasar por el equipo de TI. Un empleado cayó en la trampa y entregó sus credenciales. Luego, los hackers llamaron al empleado y, haciéndose pasar por el equipo de TI, obtuvieron el código de autenticación multifactor (MFA).

Con este código, los atacantes agregaron su propio dispositivo a la cuenta Okta del empleado, lo que les permitió tener acceso a Google Workspace. Esto les dio acceso a sistemas internos y a las cuentas de 27 clientes en la industria de la criptografía. Los atacantes cambiaron los correos electrónicos y restablecieron las contraseñas, lo que resultó en la pérdida de cerca de $15 millones en criptomonedas para uno de los usuarios afectados.

El incidente destaca la importancia de utilizar claves de seguridad de hardware o FIDO2 para protegerse contra ataques de phishing y resalta la sofisticación de los atacantes, que podrían estar relacionados con el grupo UNC3944. Este grupo ha utilizado el acceso a entornos de víctimas para personalizar campañas de phishing. Además, el gobierno de EE. UU. ha advertido sobre el uso de falsificaciones de audio, video y texto para una variedad de propósitos maliciosos, incluidos los ataques de correo electrónico comercial y las estafas de criptomonedas.

fuente: thehackernews