MFA, MFA olmadığında - Retool phishing saldırısına nasıl uğradı

 (retool.com)
5 puan yazan GN⁺ 2023-09-14 | 2 yorum | WhatsApp'ta paylaş
  • 29 Ağustos 2023'te Retool, spear phishing saldırısı nedeniyle 27 bulut müşteri hesabına yetkisiz erişim sağlandığını bildirdi
  • Bu saldırı SMS tabanlı bir phishing saldırısıyla başladı ve çalışanlar, BT departmanından hesap sorunları hakkında gelmiş gibi görünen kısa mesajlar aldı
  • Bir çalışan, kısa mesajda verilen bağlantı üzerinden giriş yaptı; bu bağlantı onu çok faktörlü kimlik doğrulama (MFA) formu içeren sahte bir portala yönlendirdi
  • Saldırgan, BT ekibinden biri gibi davranarak çalışanı aradı ve ek MFA kodları elde etti; bununla çalışanın Okta hesabına kişisel bir cihaz ekleyebildi
  • Saldırgan daha sonra kendi Okta MFA'sını oluşturabildi ve bu da saldırganın cihazında bir GSuite oturumunu etkinleştirdi
  • Saldırgan, ele geçirilmiş Google hesabındaki tüm MFA token'larına erişti; bunun sonucunda Retool'un iç sistemlerine erişim sağlandı ve belirli müşteri hesaplarını ele geçirme saldırıları gerçekleştirildi
  • Retool, tüm dahili kimlik doğrulama oturumlarını iptal ederek, etkilenen hesaplara erişimi kısıtlayarak, etkilenen müşterileri bilgilendirerek ve hesaplarını eski durumuna geri getirerek yanıt verdi
  • Retool'un şirket içi kurulum kullanan müşterileri, "zero trust" ortamında çalıştıkları ve tamamen bağımsız oldukları için etkilenmedi
  • Olay, yazılım tabanlı OTP'ler kullanan MFA'nın zayıflıklarını ve Google Authenticator'ın bulut senkronizasyonu özelliğiyle ilgili riskleri öne çıkarıyor
  • Retool, Google'ın Google Authenticator'daki karanlık kalıpları (bulut senkronizasyonunu açmaya yönlendirmeyi) kaldırması ya da kuruluşlara bunu devre dışı bırakma imkanı sunması gerektiğini önerdi
  • Şirket, sosyal mühendislik farkındalığının önemini ve tüm sistemi etkileyebilen insan hatalarını önleyecek sistemlere duyulan ihtiyacı vurguladı
  • Retool, insanın döngüde olduğu iş akışlarını zaten içerde uygulamaya aldı ve bunları müşterilere yönelik ürününe de eklemeyi planlıyor
  • Şirket, müşterilerin kendi tehdit modellerini anlamasını ve işlem yürütmeden önce birden fazla çalışanın onayını gerektiren escalation flow'lar gibi ek koruma önlemlerini entegre etmesini öneriyor

İlgili okumalar

2 yorum

 
kunggom 2023-09-15

Anlatıldığı kadarıyla, şirketin iç durumuna epey hâkim birinin spear phishing girişiminde bulunmuş olduğu anlaşılıyor.
Şirket içi süreçleri bilmekle kalmayıp, hatta gerçek bir çalışanın sesini deepfake ile sentezleyerek arama yapacak kadar ileri gitmişler.
Bir de Google Authenticator’ın bulut senkronizasyonu özelliğiyle OTP’yi etkisiz hâle getirmeleri, gerçekten ürkütücü…
 
GN⁺ 2023-09-14
Hacker News görüşleri
  • Bu yazı, çok faktörlü kimlik doğrulamayı (MFA) kötüye kullanan ve deepfake teknolojisi kullanan sofistike bir phishing saldırısını ele alıyor.
  • Yorumcular, bulut tabanlı MFA kodlarının zayıf olduğunu öne sürüyor ve SMS tabanlı MFA'yı daha güvenli bir alternatif olarak öneriyor.
  • Güvenlik eğitiminin önemi vurgulanıyor; beklenmedik bilgi taleplerinde, talebi yapan kişiyle bilinen ve güvenilir bir kanal üzerinden iletişime geçerek doğrulama yapılması tavsiye ediliyor.
  • Saldırıda deepfake teknolojisinin kullanıldığına dair şüpheler dile getiriliyor; çünkü bunun için gereken iç bilgi miktarı oldukça fazla.
  • Şirketin donanım tabanlı 2FA kullanmaması eleştiriliyor; bunun daha güvenli ve daha ucuz olduğu düşünülüyor.
  • Google'ın kodların bulutla senkronize edilmesini önermesi sorgulanıyor; güvenliği artırmak için şifreli yedekleme ve FIDO2 kullanılması öneriliyor.
  • OTP'ler (tek kullanımlık parolalar) eski bir yaklaşım olarak görülüyor; U2F, WebAuthn ve Passkey gibi phishing'e dayanıklı doğrulayıcılar alternatif olarak öneriliyor.
  • Bir çalışanın sesinin deepfake ile taklit edilmesi ve saldırganların şirket içi süreçleri bilmesi, saldırının ne kadar sofistike olduğunu gösteriyor.
  • Şirketin güvenlik yaklaşımı eleştiriliyor ve temel güvenlik önlemlerinin düzeltilmesi gerektiği öne sürülüyor.
  • Saldırının ayrıntılarının açık şekilde paylaşılması, erişilebilir bulunuyor ve topluluğun güvenlik önlemlerini geliştirmesine yardımcı olabileceği için övülüyor.
  • Saldırganların bir çalışanın sesine ait yeterli kayıtları deepfake üretmek için nasıl elde ettiği sorgulanıyor; bunun içeriden birinin dahil olmuş olabileceğine işaret ettiği düşünülüyor.
  • Bu olay, görüşmelerin kaydedilmesi ve şirket içi süreçlerin sızdırılmış olabileceği ihtimaline dair endişeleri artırıyor.