Die Phishing-Kampagne 0ktapus hat über 130 Unternehmen angegriffen

Die Phishing-Kampagne 0ktapus hat über 130 Unternehmen angegriffen

Über 130 Organisationen, darunter Twilio, DoorDashund Cloudflare wurden im Rahmen einer monatelangen Phishing-Kampagne, die von Sicherheitsforschern den Spitznamen „0ktapus“ erhielt, möglicherweise von Hackern kompromittiert. Laut a wurden die Anmeldedaten von fast 10.000 Personen von Angreifern gestohlen, die den beliebten Single-Sign-On-Dienst Okta imitierten Bericht des Cybersicherheits-Outfits Group-IB.

Wie Group-IB weiter ins Detail geht, nutzten die Angreifer diesen Zugriff, um Konten über andere Dienste hinweg zu schwenken und anzugreifen. Am 15. August hat der sichere Nachrichtendienst Signal alarmiert Benutzer, dass die Twilio-Verletzung der Angreifer es ihnen ermöglichte, bis zu 1.900 Signal-Konten aufzudecken, und bestätigten, dass sie in der Lage waren, neue Geräte bei den Konten einiger weniger zu registrieren, was es den Angreifern ermöglichen würde, von diesem Konto zu senden und zu empfangen. Diese Woche Twilio aktualisierte auch seine Benachrichtigung über Sicherheitsverletzungen, wobei festgestellt wurde, dass 163 Kunden auf ihre Daten zugegriffen hatten. Es stellte auch fest, dass 93 Benutzer von Authy, seinem Cloud-Dienst für Multifaktor-Authentifizierung, auf ihre Konten zugegriffen und zusätzliche Geräte registriert hatten.

Den Zielen der Phishing-Kampagne wurden Textnachrichten gesendet, die sie auf eine Phishing-Website umleiteten. Wie der Bericht von Group-IB feststellt, „aus der Sicht des Opfers sieht die Phishing-Site ziemlich überzeugend aus, da sie der Authentifizierungsseite, an die sie gewöhnt sind, sehr ähnlich ist.“ Die Opfer wurden nach ihrem Benutzernamen, Passwort und einem Zwei-Faktor-Authentifizierungscode gefragt. Diese Informationen wurden dann an die Angreifer gesendet.

Interessanterweise deutet die Analyse von Group-IB darauf hin, dass die Angreifer etwas unerfahren waren. „Die Analyse des Phishing-Kits ergab, dass es schlecht konfiguriert war und die Art und Weise, wie es entwickelt wurde, die Möglichkeit bot, gestohlene Zugangsdaten für weitere Analysen zu extrahieren“, sagte Roberto Martinez, Senior Threat Intelligence Analyst bei Group-IB. gesagt TechCrunch.

Aber unerfahren oder nicht, das Ausmaß des Angriffs ist massiv, wobei Group-IB 169 eindeutige Domänen erkennt, auf die die Kampagne abzielt. Es wird angenommen, dass die 0ktapus-Kampagne etwa im März 2022 begann und dass bisher rund 9.931 Anmeldeinformationen gestohlen wurden. Die Angreifer haben ihr Netz weit ausgebreitet und zielen auf mehrere Branchen ab, darunter Finanzen, Spiele und Telekommunikation. Zu den von Group-IB als Ziele (aber nicht bestätigte Verstöße) genannten Domains gehören Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games und Epic Games.

Bargeld scheint zumindest eines der Motive für die Angriffe zu sein, wobei die Forscher erklärten: „Wenn wir Finanzunternehmen in der kompromittierten Liste sehen, können wir vermuten, dass die Angreifer auch versuchten, Geld zu stehlen. Darüber hinaus bieten einige der Zielunternehmen Zugang zu Krypto-Assets und -Märkten, während andere Anlageinstrumente entwickeln.“

Group-IB warnt davor, dass wir das volle Ausmaß dieses Angriffs wahrscheinlich noch einige Zeit nicht kennen werden. Um sich vor ähnlichen Angriffen wie diesem zu schützen, bietet Group-IB den üblichen Rat: Überprüfen Sie immer die URL jeder Site, auf der Sie Anmeldedaten eingeben; URLs, die von unbekannten Quellen stammen, mit Argwohn behandeln; und für zusätzlichen Schutz können Sie einen „unphishbaren“ Zwei-Faktor-Sicherheitsschlüssel wie einen YubiKey verwenden.

Diese jüngste Reihe von Phishing-Angriffen ist laut Group-IB eine der bisher beeindruckendsten Kampagnen dieser Größenordnung. Der Bericht kommt zu dem Schluss, dass „Oktapus zeigt, wie anfällig moderne Organisationen für einige grundlegende Social-Engineering-Angriffe sind und wie weitreichend die Auswirkungen solcher Vorfälle können für ihre Partner und Kunden sein.“

Das Ausmaß dieser Bedrohungen wird sich wahrscheinlich auch in absehbarer Zeit nicht verringern. Forschung von Zscaler zeigt, dass Phishing-Angriffe im Jahr 2021 weltweit um 29 Prozent im Vergleich zum Vorjahr zugenommen haben, und stellt fest, dass insbesondere SMS-Phishing schneller zunimmt als andere Arten von Betrug, da die Menschen begonnen haben, betrügerische E-Mails besser zu erkennen. Auch Social-Engineering-Betrug und Hacks wurden während der COVID-19-Pandemie zunehmenund Anfang dieses Jahres haben wir sogar gesehen, dass sowohl Apple als auch Meta Daten mit Hackern geteilt haben, die sich als Strafverfolgungsbeamte ausgaben.

Korrektur 26. August, 14:26 Uhr ET: Eine frühere Version dieser Geschichte enthielt Signal als eines der Unternehmen, das von den Phishing-Angriffen angegriffen und kompromittiert wurde. Es war nicht eines der Opfer, dessen Sicherheit von den Angreifern durch Phishing verletzt wurde. Die Angreifer knackten Twilio, das Textnachrichten zur Überprüfung von Telefonnummern verarbeitet, und konnten neue Geräte bei den Konten von Signal-Benutzern registrieren, ohne direkten Zugriff auf Signal zu haben. Wir bedauern den Fehler.

Update vom 26. August, 14:26 Uhr ET: Aktualisierte Datenschutzverletzungsinformationen von Twilio hinzugefügt, in denen auf Authy-Konten verwiesen wird, auf die zugegriffen wurde.

Quellenlink