Компания Retool, занимающаяся разработкой программного обеспечения, видит причину взлома кастодиального сервиса Fortress Trust в недавно появившейся функции облачной синхронизации учётных записей Google.
В Retool, которая предоставляет облачные услуги нескольким клиентам, в том числе Fortress Trust, заявили, что все учётные записи её 27 облачных клиентов были скомпрометированы. В результате взлома Fortress Trust потеряла $15 млн.
Руководитель технического отдела Retool Снир Кодеш заявил, что новое обновление Google изменило стандарт многофакторной аутентификации на однофакторную аутентификацию без ведома администраторов.
Это позволило хакеру, начавшего взлом с SMS-атаки с использованием социальной инженерии, нацеленной на сотрудников компании, добиться успеха. Злоумышленник рассылал вредоносные ссылки сотрудникам, выдавая себя за члена ИТ-команды.
В сообщении, сопровождающем ссылку, говорилось, что это необходимо для решения проблемы с заработной платой, и один из сотрудников по незнанию ввёл свои учётные данные на фейковой странице. Затем хакер позвонил сотруднику, чтобы получить код многофакторной аутентификации.
Хакер получил доступ к внутренней системе администрирования со своих устройств, активировав облачную синхронизацию Google Authenticator. Он немедленно взял под свой контроль учётные записи клиентов, сменив адрес электронной почты и пароль.
В Retool не раскрыли, как атака повлияла на других клиентов. Сложность этого процесса позволяет предположить, что хакер является экспертом, который мог иметь инсайдерский доступ для адаптации своих фишинговых ссылок к жертвам.
После инцидента 27 августа Ripple приобрела Fortress Trust, возместив средства пострадавшим клиентам. Этот инцидент подчёркивает растущую изощрённость мошенников и хакеров в области социальной инженерии, которые сосредоточивают своё внимание на криптофирмах.
да есть очень крутые хакеры и от них не куда не денешься