Ha habido una oleada reciente de ataques de phishing tan quirúrgicamente precisos y bien ejecutados que han logrado engañar a algunas de las personas más conscientes que trabajan en la industria de la ciberseguridad. El lunes, martes y miércoles, el proveedor de autenticación de dos factores Twilio, la red de entrega de contenido Cloudflare y el fabricante de equipos de red Cisco dijeron que los phishers en posesión de números de teléfono pertenecientes a empleados y familiares de empleados habían engañado a sus empleados para que revelaran sus credenciales. Los phishers obtuvieron acceso a los sistemas internos de Twilio y Cisco. Las claves 2FA basadas en hardware de Cloudflare impidieron que los phishers accedieran a sus sistemas.
Los phishers eran persistentes, metódicos y claramente habían hecho su tarea. En un minuto, al menos 76 empleados de Cloudflare recibieron mensajes de texto que usaban varios trucos para engañarlos para que iniciaran sesión en lo que creían que era su cuenta de trabajo. El sitio web de phishing usó un dominio (cloudflare-okta.com) que se había registrado 40 minutos antes de la ráfaga de mensajes, frustrando un sistema que Cloudflare usa para recibir alertas cuando se crean los dominios que usan su nombre (presumiblemente porque toma tiempo para que se registren nuevas entradas). poblar). Los phishers también tenían los medios para derrotar las formas de 2FA que se basan en contraseñas de un solo uso generadas por aplicaciones de autenticación o enviadas a través de mensajes de texto.
Creando un sentido de urgencia
Al igual que Cloudflare, tanto Twilio como Cisco recibieron mensajes de texto o llamadas telefónicas que también se enviaron bajo la premisa de que había circunstancias urgentes (un cambio repentino en un horario, una contraseña que vence o una llamada bajo la apariencia de una organización confiable) que requerían que el objetivo actúa rápidamente.
El miércoles me tocó a mí. A las 3:54 p. m. (hora del Pacífico), recibí un correo electrónico que pretendía ser de Twitter, informándome que mi cuenta de Twitter acababa de ser verificada. Inmediatamente sospeché porque no había solicitado la verificación y realmente no quería hacerlo. Pero los encabezados mostraban que el correo electrónico se originó en twitter.com, el enlace (que abrí en Tor en una máquina segura) conducía al sitio real de Twitter.com, y nada en el correo electrónico o en la página vinculada me pedía que proporcionara información. También noté que de repente apareció una marca de verificación en mi página de perfil.
Satisfecho de que el correo electrónico fuera genuino, noté mi sorpresa en Twitter a las 3:55.
Que demonios. Twitter acaba de verificar mi cuenta, aunque me he negado rotundamente a darles mi identificación o cualquier otra información. Me pregunto porque.
—Dan Goodin (@dangoodin001) 10 de agosto de 2022
Segundos después, a las 3:56, recibí un mensaje directo que pretendía provenir del departamento de verificación de Twitter. Decía que para que mi verificación se volviera permanente, necesitaba responder al mensaje con mi licencia de conducir, pasaporte u otra identificación emitida por el gobierno.
Tengo fuertes sentimientos acerca de la inadecuación de Twitter, una empresa que ha sido pirateada al menos tres veces y admitió haber hecho un mal uso de los números de teléfono de los usuarios, solicitando este tipo de datos. Estaba loco. Era casi el final de mi jornada laboral. Todavía estaba sorprendido por el regalo inesperado y no falso de Twitter de una marca de verificación que no había pedido. Entonces, sin leer detenidamente el DM, twitteé una captura de pantalla, junto con un comentario cínico sobre que Twitter no es confiable.
Hablé demasiado pronto. Lo siento, @gorjeo, no eres digno de confianza. Continúe y elimine la marca de verificación azul. No obtendrá mi identificación solo para que pueda ser pirateado nuevamente o usarla con fines de marketing. pic.twitter.com/dimLCLagdU
—Dan Goodin (@dangoodin001) 10 de agosto de 2022
La cosa es que el DM usó un inglés roto; el identificador de usuario se llamaba Soporte, seguido de un montón de números; la cuenta estaba bloqueada. El DM es un ejemplo de libro de texto de un phishing, con todas las características de una estafa. Entonces, ¿por qué mi primera impresión fue que este mensaje era genuino? Hay unas pocas razones.