A empresa de comunicação Twilio sofreu uma violação no início de agosto que, segundo ela, afetou 163 de suas organizações de clientes. Dos 270.000 clientes da Twilio, 0,06% pode parecer trivial, mas o papel específico da empresa no ecossistema digital significa que essa fatia fracionária de vítimas teve um valor e uma influência enormes. O aplicativo de mensagens seguras Signal, o aplicativo de autenticação de dois fatores Authy e a empresa de autenticação Okta são todos clientes Twilio que foram vítimas secundárias da violação.
Twilio fornece interfaces de programação de aplicativos através das quais as empresas pode automatizar os serviços de chamadas e mensagens de texto. Isso pode significar um sistema que um barbeiro usa para lembrar os clientes sobre os cortes de cabelo e fazer com que eles respondam “Confirmar” ou “Cancelar”. Mas também pode ser a plataforma por meio da qual as organizações gerenciam seus sistemas de mensagens de texto de autenticação de dois fatores para enviar códigos de autenticação únicos. Embora se saiba há muito tempo que o SMS é uma maneira insegura de receber esses códigos, é definitivamente melhor do que nada, e as organizações não conseguiram se afastar completamente da prática. Mesmo uma empresa como a Authy, cujo produto principal é um aplicativo gerador de código de autenticação, usa alguns dos serviços do Twilio. ” e “Scatter Swine” é significativo porque ilustra que os ataques de phishing podem não apenas fornecer aos invasores acesso valioso a uma rede de destino, mas também podem desencadear ataques à cadeia de suprimentos nos quais o acesso aos sistemas de uma empresa fornece uma janela para os de seus clientes.
“Acho que isso será considerado um dos hacks de formato longo mais sofisticados da história”, disse um engenheiro de segurança que pediu para não ser identificado porque seu empregador contratos com Twilio. “Foi um hack paciente que foi superdirecionado, mas amplo. Pwn the multi-factor authentication, pwn the world.”
Os invasores comprometeram o Twilio como parte de uma campanha de phishing massiva e personalizada contra mais de 130 organizações nas quais os invasores enviaram mensagens SMS de phishing mensagens aos funcionários das empresas-alvo. Os textos geralmente diziam vir do departamento de TI ou da equipe de logística de uma empresa e instavam os destinatários a clicar em um link e atualizar sua senha ou fazer login para revisar uma alteração de agendamento. Twilio diz que os URLs maliciosos continham palavras como “Twilio”, “Okta” ou “SSO” para fazer o URL e a página de destino maliciosa que ele vinculou parecerem mais legítimos. Os invasores também visaram a empresa de infraestrutura de internet Cloudflare em sua campanha, mas a empresa disse no início de agosto que não foi comprometida por causa de seus limites de acesso de funcionários e uso de chaves de autenticação física para logins.
“O maior ponto aqui é o fato de que o SMS foi usado como vetor de ataque inicial nesta campanha em vez de e-mail”, diz Crane Hassold, diretor de inteligência de ameaças da Abnormal Security e ex-analista de comportamento digital do FBI. “Começamos a ver mais atores se afastando do e-mail como direcionamento inicial e, à medida que os alertas de mensagens de texto se tornam mais comuns nas organizações, esses tipos de mensagens de phishing serão mais bem-sucedidos. Curiosamente, recebo mensagens de texto de diferentes empresas com as quais faço negócios o tempo todo, e esse não era o caso há um ano.”
