Na terça-feira (09), a companhia de infraestrutura da web Cloudflare informou que ao menos 76 colaboradores e seus familiares receberam mensagens em seus celulares pessoais e de trabalho, com conteúdos parecidos aos ataques phishing que a Twilio sofreu.

Essas ameaças aconteceram no mesmo tempo em que o portal de comunicação digital, Twilio, foi atacado. No caso da Cloudflare, as mensagens chegaram de outros quatros números de celulares, que estão ligados a cartões SIM criados pela T-Mobile.

As mensagens encaminhadas possuíam um domínio que parecia legítimo, com as seguintes palavras em seu texto “Cloudflare” e “Okta”. Era assim que os hackers tentaram burlar os trabalhadores da Cloudflare, para que eles enviassem suas credenciais.

Segundo a Cloudflare, foram encaminhadas mais de 100 mensagens logo após 40 minutos que o domínio não autorizado foi registrado via Porkbun. Além disso, a página de phishing foi criada para retransmitir os dados obtidos e serem inseridos por usuários ​​ao invasor via Telegram em tempo real.

Com isso, os invasores poderiam derrotar os bloqueios da 2FA, já que os códigos de senha de uso único com base no tempo (TOTP) adicionados no portal falso, autorizando que hackers acessassem a plataforma com as senhas e TOTPs roubados.

cloudflare
Crédito: Sundry Photography/Shutterstock

De acordo com a Cloudflare, três de seus colaboradores acabaram caindo no golpe e enviaram suas informações. Porém, ressaltou que eles conseguiram bloquear uma invasão ao sistema interno pelas chaves de segurança física compatíveis com FIDO2 necessárias para acessar seus aplicativos.

“Como as chaves físicas estão vinculadas aos usuários e implementam a vinculação de origem, mesmo uma operação de phishing sofisticada e em tempo real como essa não pode reunir as informações necessárias para fazer login em nenhum de nossos sistemas”, afirmou Cloudflare. “Enquanto o invasor tentou fazer login em nossos sistemas com as credenciais de nome de usuário e senha comprometidas, eles não conseguiram ultrapassar o requisito de chave física.”

Apesar de tudo, essas invasões não são apenas tentativas de roubo de credenciais, informações e códigos TOTP. Caso um trabalhador passe da página de login, a etapa de phishing foi criada para baixar automaticamente o software de acesso remoto do AnyDesk, que, se instalado, pode ser usado para comandar o sistema da vítima.

Isso ocorreu alguns dias depois que a plataforma Twilio informou o ataque de hackers em seu sistema, usando credenciais de funcionários para ter acesso e obter contas de usuários.

Via: The Hacker News

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!