Wenn MFA nicht wirklich MFA ist – wie Retool Opfer eines Phishing-Angriffs wurde

 (retool.com)
5 Punkte von GN⁺ 2023-09-14 | 2 Kommentare | Auf WhatsApp teilen
  • Am 29. August 2023 meldete Retool, dass durch einen Spear-Phishing-Angriff 27 Cloud-Kundenkonten unbefugt kompromittiert wurden
  • Der Angriff begann mit einer SMS-basierten Phishing-Kampagne; Mitarbeitende erhielten Textnachrichten, die so aussahen, als kämen sie von der IT-Abteilung und beträfen ein Kontoproblem
  • Ein Mitarbeiter meldete sich über den in der Nachricht enthaltenen Link an und wurde auf ein gefälschtes Portal mit einem Formular für Multi-Faktor-Authentifizierung (MFA) geleitet
  • Die Angreifer gaben sich anschließend als Mitglieder des IT-Teams aus, riefen den Mitarbeiter an und erschlichen sich zusätzliche MFA-Codes, wodurch sie ein eigenes Gerät zum Okta-Konto des Mitarbeiters hinzufügen konnten
  • Danach konnten die Angreifer ihre eigene Okta-MFA einrichten und so eine GSuite-Sitzung auf ihrem eigenen Gerät aktivieren
  • Die Angreifer erhielten Zugriff auf alle MFA-Token im kompromittierten Google-Konto, wodurch sie auf Retools interne Systeme zugreifen und Übernahmen bestimmter Kundenkonten durchführen konnten
  • Retool reagierte, indem alle internen Authentifizierungssitzungen widerrufen, der Zugriff auf betroffene Konten eingeschränkt, betroffene Kunden informiert und ihre Konten in den ursprünglichen Zustand zurückversetzt wurden
  • Retools On-Premise-Kunden waren nicht betroffen, da sie in einer "Zero Trust"-Umgebung betrieben werden und vollständig isoliert sind
  • Der Vorfall unterstreicht die Schwächen von MFA mit softwarebasierten OTPs sowie die Risiken der Cloud-Synchronisierung in Google Authenticator
  • Retool schlägt vor, dass Google die Dark Patterns in Google Authenticator entfernen sollte, die Nutzer zum Aktivieren der Cloud-Synchronisierung drängen, oder Organisationen eine Möglichkeit geben sollte, diese Funktion zu deaktivieren
  • Das Unternehmen betonte die Bedeutung von Awareness für Social Engineering sowie die Notwendigkeit von Systemen, die menschliche Fehler verhindern, bevor sie sich auf das Gesamtsystem auswirken
  • Retool hat intern bereits Human-in-the-Loop-Workflows implementiert und plant, diese auch in seine Produkte für Kunden zu integrieren
  • Das Unternehmen empfiehlt Kunden, ihr eigenes Threat Model zu verstehen und zusätzliche Schutzmaßnahmen zu integrieren, etwa Escalation Flows, die zur Ausführung von Aktionen die Freigabe mehrerer Mitarbeitender erfordern

Verwandte Beiträge

2 Kommentare

 
kunggom 2023-09-15

Wenn es so war, wie beschrieben, scheint jemand, der mit den internen Verhältnissen des Unternehmens ziemlich gut vertraut war, einen Spear-Phishing-Angriff versucht zu haben.
Er kannte nicht nur die internen Abläufe des Unternehmens, sondern ging sogar so weit, die Stimme eines echten Mitarbeiters per Deepfake zu synthetisieren und anzurufen.
Und dann auch noch die OTPs über die Cloud-Synchronisierungsfunktion von Google Authenticator auszuhebeln — ziemlich furchteinflößend …
 
GN⁺ 2023-09-14
Hacker-News-Kommentare
  • Dieser Artikel behandelt einen ausgefeilten Phishing-Angriff, der Multi-Faktor-Authentifizierung (MFA) missbrauchte und Deepfake-Technologie einsetzte.
  • Die Kommentierenden weisen darauf hin, dass Cloud-basierte MFA-Codes anfällig sind, und empfehlen SMS-basierte MFA als sicherere Alternative.
  • Die Bedeutung von Sicherheitsschulungen wird betont; außerdem wird geraten, bei unerwarteten Informationsanfragen den Anfragenden über einen bekannten vertrauenswürdigen Kanal zu kontaktieren, um die Anfrage zu verifizieren.
  • Es werden Zweifel am Einsatz von Deepfake-Technologie bei dem Angriff geäußert, da dafür eine große Menge an internem Wissen nötig gewesen wäre.
  • Das Unternehmen wird dafür kritisiert, keine Hardware-2FA verwendet zu haben, die als sicherer und günstiger gilt.
  • Es wird infrage gestellt, dass Google empfiehlt, Codes mit der Cloud zu synchronisieren; stattdessen werden verschlüsselte Backups und FIDO2 zur Verbesserung der Sicherheit vorgeschlagen.
  • OTPs (Einmalpasswörter) gelten als veraltet; phishing-resistente Authentifikatoren wie U2F, WebAuthn und Passkeys werden als Alternativen empfohlen.
  • Erwähnt wird die Raffinesse des Angriffs, bei dem die Stimme eines Mitarbeiters per Deepfake nachgebildet wurde und interne Unternehmensprozesse bekannt waren.
  • Die Sicherheitskultur des Unternehmens wird kritisiert, verbunden mit dem Vorschlag, grundlegende Sicherheitsmaßnahmen zu überarbeiten.
  • Die detaillierte Offenlegung des Angriffs wird dafür gelobt, gut zugänglich zu sein und der Community dabei helfen zu können, Sicherheitsmaßnahmen zu verbessern.
  • Es werden Fragen dazu gestellt, wie die Angreifer genügend Sprachaufnahmen eines Mitarbeiters erhalten konnten, um einen Deepfake zu erstellen, was auf die Möglichkeit einer Beteiligung von Insidern hindeutet.
  • Der Vorfall weckt Sorgen über die Aufzeichnung von Gesprächen und die mögliche Weitergabe interner Prozesse.