Recientemente, varios empleados de Twilio cayeron en un ataque de phishing de SMS muy simple y poco sofisticado que ha llevado a que algunos de sus clientes se vean comprometidos. Esos clientes ahora verán a sus empleados atacados con ataques de phishing similares en el futuro; es solo cuestión de tiempo.
Los mensajes SMS de phishing en cuestión pasaron por alto los cortafuegos SMS de los operadores, así como la seguridad de punto final de Twilio. El ataque de phishing incluso pasó por alto la propia solución de autenticación de dos factores (2FA) antiphishing de Twilio, Authy. Según el sitio web de Authy:
“Vaya más allá de la contraseña y protéjase de los piratas informáticos y las apropiaciones de cuentas”.
Para colmo de males, los mensajes de phishing de SMS engañaron a los empleados que trabajan con aplicaciones basadas en SMS todo el día, todos los días, y fueron engañados con URL que suplantaban a una de sus propias URL.
Al menos 76 empleados de Cloudflare fueron atacados en un ataque de phishing similar, y 3 empleados cayeron en el señuelo; también cayeron en una URL que se hizo pasar por una de sus propias URL. Sus mensajes SMS también pasaban por las redes de los operadores y sus cortafuegos de SMS, así como por su propia protección de terminales.
Como he estado diciendo durante muchos años, algunos de los profesionales de seguridad más inteligentes del mundo caen en los ataques de phishing; no es algo que hagan las “personas estúpidas”. Tanto Cloudflare como Twilio emplean a personas capacitadas. El punto que estoy destacando aquí es este: si estos empleados de proveedores de seguridad pueden caer en ataques de phishing que eluden sus propios controles de seguridad mientras se hacen pasar por sus propias URL, usted y todos sus conocidos también pueden hacerlo, literalmente.
Authy es una solución 2FA propiedad de Twilio y está diseñada para proteger a las organizaciones de ataques liderados por phishing como esteTwilio es el mayor proveedor mundial de tráfico A2P, con detección de amenazas anti-phishing incorporadaLa URL de phishing en la que se enamoraron los empleados de Twilio, se hizo pasar por un URL de Twilio
Sabemos que tanto los empleados de Twilio como los de Cloudflare usan la autenticación de dos factores (2FA) para una capa adicional de seguridad, pero desafortunadamente para Twilio (así como para sus clientes que ahora están comprometidos), sus empleados no estaban protegidos en este ataque. Así que no es su culpa. Es culpa de todos los controles de seguridad que fallaron en mantenerlos a salvo.
Como escribí por primera vez en 2019 a pedido del Consorcio PKI, un ataque de phishing de proxy inverso puede eludir casi todas las soluciones de seguridad del mercado, incluidos los administradores de contraseñas como 1Password y LastPass, así como las aplicaciones 2FA como Authy y Google Authenticator.
Un ataque de hombre en el medio dirigido es virtualmente imposible de detectar para cualquier persona. Cuando es persistente, es prácticamente imposible que su empleador lo combata. Este tipo de ataque requiere un nuevo concepto llamado “Zero Trust URL & Web Access Authentication” (no confíe en URL, siempre verifique).
El 20 de julio de 2022, el equipo de seguridad de Cloudflare recibió informes de empleados que recibieron mensajes de texto de aspecto legítimo que apuntaban a lo que parecía ser una página de inicio de sesión de Cloudflare Okta.
En menos de 1 minuto, al menos 76 empleados recibieron mensajes de texto en sus teléfonos personales y de trabajo. También se enviaron algunos mensajes a los familiares del empleado. Según Cloudflare, aún no han podido determinar cómo el atacante reunió la lista de números de teléfono de los empleados. Esto me sorprende porque sabemos que Okta informó un ciberataque similar en su red hace unos meses, durante el cual, algunos de los datos de sus clientes (por ejemplo, Cloudflare) se vieron comprometidos.
Los mensajes de phishing provenían de cuatro números de teléfono asociados con las tarjetas SIM emitidas por T-Mobile, lo que significa que T-Mobile no tiene una seguridad antiphishing efectiva para su tráfico saliente. Este es el problema costoso que los SMS Firewall no pueden abordar.
Si bien tres empleados de Cloudflare se enamoraron del mensaje SMS e ingresaron sus credenciales en el sitio web, la empresa utiliza claves de seguridad físicas de proveedores como YubiKey para 2FA. ?
Las claves de hardware vinculan las credenciales de inicio de sesión con las URL verificadas guardadas para cada sitio web y servicio. La clave solo autenticará una URL que coincida con la almacenada en el dispositivo. No autenticará las URL de phishing, incluso cuando el sitio web o el servicio parezcan legítimos. Esta es una estrategia de “confianza cero” para la autenticación de URL y acceso web. Tenemos que darle todo el crédito a Cloudflare por evitar un resultado terrible con una estrategia Zero Trust, pero sus empleados aún están expuestos a futuros ataques de phishing como este. Son tan vulnerables ahora como lo eran antes de este ataque: la capacitación adicional no hará la diferencia. ¿Cuántas veces puede decir “no abrir enlaces” antes de darse cuenta de que no es una estrategia efectiva para la seguridad cibernética? Y agregar más de la misma detección de amenazas anti-phishing es lo más tonto que he escuchado, porque los atacantes usan URL que no conocemos; consulte mi línea de tiempo anterior según lo informado por Cloudflare.
Este punto adelante es una autopromoción completa de cómo MetaCert aborda este problema. No puedo evitar hablar de MetaCert dado que es la única compañía en el mundo que puede detener los ataques de phishing por SMS con una estrategia de “confianza cero” similar a un interruptor automático.
Desafortunadamente, las claves de hardware como Yubikey que cumplen con el estándar de autenticación abierta FIDO U2F solo funcionan en unos pocos cientos de sitios web y servicios, y no están diseñadas para la infraestructura de SMS. Eso deja “Zero Trust SMS”…
Si los operadores adoptaran una estrategia de “SMS de confianza cero”, estos ataques de phishing nunca se habrían producido. No habrían pasado la prueba del propio atacante. Cada URL de phishing que los atacantes intentaron enviar no pudo autenticarse y todos los empleados habrían sido redirigidos a una página de “PRECAUCIÓN”, similar a la que se muestra a continuación.
La URL de phishing de Cloudflare anterior ahora debería estar bloqueada por SMS Firewalls, pero no lo están; todavía es posible enviar la URL de phishing por SMS a los suscriptores de todos los principales operadores de EE. UU. y Canadá, así como a todos los principales operadores móviles en el Reino Unido e Irlanda. Todos los proveedores de SMS Firewall no detectan ni bloquean esta URL de phishing conocida al momento de escribir este artículo. Eso podría cambiar para cuando leas esto.
Utilicé nuestra propia aplicación Twilio para ejecutar estas pruebas, lo que significa que Twilio no está bloqueando estas URL de phishing conocidas incluso después de haber sido investigadas y confirmadas como peligrosas. No entiendo cómo alguien puede esperar que Twilio bloquee las URL de phishing desconocidas si no pueden bloquear las conocidas. Es hora de que la industria de las telecomunicaciones emplee expertos en seguridad cibernética contra el phishing. Sinch y empresas similares están todas en el mismo barco que Twilio: no hay diferencia aparte del hecho de que es probable que Twilio tenga controles de seguridad mucho más sólidos que sus competidores más pequeños.
En diciembre de 2017, (Ybikey se lanzó en 2018), MetaCert fue pionera en el concepto de URL de confianza cero y autenticación de acceso web: es como un interruptor para matar ataques de phishing en cualquier plataforma, dispositivo de hardware o aplicación de software. En esencia, es la base de datos más grande del mundo de direcciones de Internet verificadas y un amplio conjunto de servicios que hacen cosas increíbles en las que otros aún no han pensado.
Conceptualmente, MetaCert funciona de manera similar a una clave de hardware, pero nuestro exclusivo sistema de seguridad autentica muchos miles de millones de URI en Internet; las claves de hardware solo funcionan para unos pocos cientos de sitios web y servicios.
Es similar a un SMS Firewall, pero mucho más pequeño y fácil de integrar, y mucho más efectivo y confiable para anti-phishing. No detecta “SPAM”, ya que es una victoria fácil para los cortafuegos de SMS: hay pocos beneficios en que construyamos una versión mejor.
A los operadores no les importa lo suficiente como para pagar por una solución de seguridad antiphishing dedicada, ya nosotros no nos importa lo suficiente el SPAM.
El 90 % del sistema de autenticación y los servicios asociados se ejecutan en la infraestructura de MetaCert. El dispositivo de red solo representa el 10% de la solución.
Si Verizon, T-Mobile y otros operadores en los EE. UU. tuvieran nuestro dispositivo Zero Trust en su red, CADA URL engañosa no habría podido autenticarse. Los empleados de Cloudflare ni siquiera habrían visto la página de inicio de sesión, y mucho menos habrían dado sus nombres de usuario y contraseñas. Twilio no se habría violado, y sus clientes no se habrían visto comprometidos y ahora preocupados de que sus empleados sean objeto de ataques dirigidos similares.
Espero que este ataque cibernético en particular demuestre que Zero Trust es la ÚNICA forma de detener todo tipo de ataque de phishing por SMS. Necesitamos asumir que cada URL es peligrosa, a menos que sea verificada/autenticada. Esta es precisamente la razón por la que ninguna persona o entidad se ha dejado engañar por un enlace, URL, mensaje, descarga, página de inicio de sesión, sitio web o servicio peligroso cuando está protegido por MetaCert.
No abras enlaces. Nunca te lo pedimos. [insert text] así que no confíes en ningún mensaje que solicite esta información.
Twilio, Cloudflare, Microsoft y Okta son proveedores de ciberseguridad. Sus empleados están tan bien capacitados como pueden ser. Se les ha dicho el mismo consejo una y otra vez. ¿En qué momento la gente comenzará a darse cuenta de que esto NO es una solución de seguridad? Deje de hablar sobre lo que los empleados deben y no deben hacer y comience a hablar sobre cómo va a proteger a sus empleados de estos ataques cibernéticos. Imagínese lo mal que se sienten estos empleados en particular: sentirán que decepcionaron a su equipo y a sus clientes. Pero eso no es cierto.
Recientemente fui entrevistado por el productor de America’s Most Wanted sobre todo esto en el contexto de un hacker ruso que robó más de cien millones de dólares. Debería estar disponible en Audible en los próximos meses. El phishing es 95% psicología / 5% tecnología.