เมื่อ MFA ไม่ใช่ MFA - วิธีที่ Retool ถูกโจมตีแบบฟิชชิง

 (retool.com)
5 คะแนน โดย GN⁺ 2023-09-14 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อวันที่ 29 สิงหาคม 2023 Retool รายงานว่ามีบัญชีลูกค้าคลาวด์ 27 บัญชีถูกเข้าถึงโดยไม่ได้รับอนุญาตจากการโจมตีแบบสเปียร์ฟิชชิง
  • การโจมตีนี้เริ่มต้นผ่านฟิชชิงทาง SMS โดยพนักงานได้รับข้อความที่ปลอมตัวเหมือนส่งมาจากฝ่าย IT เกี่ยวกับปัญหาบัญชี
  • พนักงานคนหนึ่งล็อกอินผ่านลิงก์ที่ให้มาในข้อความ และถูกพาไปยังพอร์ทัลปลอมที่มีฟอร์มการยืนยันตัวตนหลายปัจจัย (MFA)
  • ผู้โจมตีปลอมตัวเป็นสมาชิกทีม IT แล้วโทรหาพนักงานเพื่อขอรหัส MFA เพิ่มเติม ซึ่งทำให้สามารถเพิ่มอุปกรณ์ส่วนตัวเข้าไปในบัญชี Okta ของพนักงานได้
  • จากนั้นผู้โจมตีสามารถสร้าง Okta MFA ของตนเองได้ ส่งผลให้เปิดใช้งานเซสชัน GSuite บนอุปกรณ์ของผู้โจมตี
  • ผู้โจมตีเข้าถึงโทเค็น MFA ทั้งหมดภายในบัญชี Google ที่ถูกบุกรุกได้ ทำให้เข้าถึงระบบภายในของ Retool และยึดบางบัญชีลูกค้าได้
  • Retool ตอบสนองด้วยการยกเลิกเซสชันยืนยันตัวตนภายในทั้งหมด จำกัดการเข้าถึงบัญชีที่ได้รับผลกระทบ แจ้งลูกค้าที่ได้รับผลกระทบ และกู้คืนบัญชีเหล่านั้นกลับสู่สถานะเดิม
  • ลูกค้าแบบ on-premise ของ Retool ไม่ได้รับผลกระทบ เพราะทำงานในสภาพแวดล้อมแบบ "Zero Trust" และแยกเป็นอิสระอย่างสมบูรณ์
  • เหตุการณ์นี้ตอกย้ำถึงช่องโหว่ของ MFA ที่ใช้ซอฟต์แวร์ OTP และความเสี่ยงที่เกี่ยวข้องกับฟีเจอร์ซิงก์ขึ้นคลาวด์ของ Google Authenticator
  • Retool เสนอว่า Google ควรลบ dark pattern ของ Google Authenticator (การชักจูงให้เปิด cloud sync) ออก หรือไม่ก็เพิ่มความสามารถให้องค์กรสามารถปิดใช้งานได้
  • บริษัทเน้นย้ำถึงความสำคัญของการตระหนักรู้ด้าน social engineering และความจำเป็นของระบบที่ช่วยป้องกันความผิดพลาดของมนุษย์ไม่ให้ส่งผลกระทบต่อทั้งระบบ
  • Retool ได้ปรับใช้เวิร์กโฟลว์แบบ human-in-the-loop ภายในแล้ว และมีแผนจะนำไปใช้ในผลิตภัณฑ์สำหรับลูกค้าด้วย
  • บริษัทยังแนะนำให้ลูกค้าเข้าใจ threat model ของตนเอง และผนวกมาตรการป้องกันเพิ่มเติม เช่น escalation flow ที่ต้องมีการอนุมัติจากพนักงานหลายคนก่อนดำเนินการหรือกระทำบางอย่าง

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
kunggom 2023-09-15

ถ้าตามที่อธิบายไว้ ก็ดูเหมือนว่าจะมีใครบางคนที่รู้รายละเอียดภายในบริษัทค่อนข้างดีพยายามทำสเปียร์ฟิชชิงนะครับ
ถึงขั้นรู้ทั้งกระบวนการภายในบริษัท แถมยังดีปเฟกเสียงพนักงานจริงเพื่อโทรมาได้เลยด้วย
แล้วยังใช้ฟีเจอร์ซิงก์ขึ้นคลาวด์ของ Google Authenticator เพื่อทำให้ OTP ใช้งานไม่ได้อีก น่ากลัวสุด ๆ…
 
GN⁺ 2023-09-14
ความคิดเห็นบน Hacker News
  • บทความนี้กล่าวถึงการโจมตีฟิชชิงที่ซับซ้อนซึ่งอาศัยช่องโหว่ของการยืนยันตัวตนหลายปัจจัย (MFA) และใช้เทคโนโลยีดีปเฟก
  • ผู้แสดงความคิดเห็นเสนอว่ารหัส MFA แบบคลาวด์มีความเปราะบาง และแนะนำให้ใช้ MFA แบบ SMS เป็นทางเลือกที่ปลอดภัยกว่า
  • มีการเน้นย้ำความสำคัญของการอบรมด้านความปลอดภัย พร้อมแนะนำว่าหากมีการขอข้อมูลที่ไม่คาดคิด ควรติดต่อผู้ร้องขอผ่านช่องทางที่เชื่อถือได้และรู้จักอยู่แล้วเพื่อยืนยัน
  • มีการตั้งข้อสงสัยต่อการใช้เทคโนโลยีดีปเฟกในการโจมตีครั้งนี้ เพราะต้องอาศัยข้อมูลภายในจำนวนมาก
  • มีการวิจารณ์ว่าบริษัทไม่ได้ใช้ 2FA แบบฮาร์ดแวร์ ซึ่งถูกมองว่าปลอดภัยกว่าและมีต้นทุนต่ำกว่า
  • มีการตั้งคำถามต่อการที่ Google แนะนำให้ซิงก์รหัสไว้บนคลาวด์ พร้อมเสนอให้ใช้แบ็กอัปแบบเข้ารหัสและ FIDO2 เพื่อเพิ่มความปลอดภัย
  • OTPs (รหัสผ่านใช้ครั้งเดียว) ถูกมองว่าล้าสมัย และมีการแนะนำตัวพิสูจน์ตัวตนที่ป้องกันฟิชชิงได้ เช่น U2F, WebAuthn และ Passkeys เป็นทางเลือกแทน
  • มีการกล่าวถึงความซับซ้อนของการโจมตีที่สามารถทำดีปเฟกเสียงพนักงานและรู้กระบวนการภายในบริษัท
  • มีการวิจารณ์ท่าทีของบริษัทต่อความปลอดภัย พร้อมเสนอว่าควรแก้ไขมาตรการความปลอดภัยพื้นฐาน
  • การเปิดเผยรายละเอียดของการโจมตีอย่างละเอียดได้รับคำชมว่าเข้าใจง่ายและอาจช่วยให้ชุมชนปรับปรุงมาตรการด้านความปลอดภัยได้
  • มีการตั้งคำถามว่าผู้โจมตีได้บันทึกเสียงพนักงานมากพอสำหรับสร้างดีปเฟกได้อย่างไร ซึ่งบ่งชี้ถึงความเป็นไปได้ของการมีคนในเกี่ยวข้อง
  • เหตุการณ์นี้ก่อให้เกิดความกังวลเกี่ยวกับความเป็นไปได้ของการบันทึกบทสนทนาและการรั่วไหลของกระบวนการภายใน