Une campagne de phishing a ciblé des centaines d’entreprises, dont DoorDash et Signal
Des chercheurs en sécurité enquêtent sur une attaque de phishing à grande échelle qui a ciblé plus de 130 entreprises, dont des institutions financières, des services de messagerie et des opérateurs de télécommunications. L’ampleur de cette campagne de piratage, surnommée « 0ktapus », peut prendre plusieurs années pour se dénouer complètement.
Pour plus de clarté, cette campagne de phishing n’a rien à voir avec la récente violation de données de LastPass. Mais cela est lié aux attaques Twilio et DoorDash qui ont été signalées les 8 et 25 août.
Sommaire
0ktapus a volé près de 10 000 identifiants de connexion
La campagne de phishing 0ktapus se concentre sur les grandes entreprises américaines, moins quelques valeurs aberrantes basées dans d’autres pays du monde. Et étonnamment, la liste des cibles de 0ktapus comprend Microsoft, AT&T, Verizon, Coinbase et Twitter – encore une fois, ces entreprises sont cibleset nous ne savons pas s’ils ont été piratés avec succès.
Depuis le 26 août, Twilio et DoorDash sont les seules grandes entreprises à avoir annoncé une violation de données 0ktapus. Les deux sociétés affirment que les pirates ont accédé aux données des utilisateurs, bien que Twilio affirme que les identifiants de connexion sont sûrs. DoorDash avertit qu’un petit groupe de clients s’est fait voler leurs informations de connexion et de paiement.
Un rapport Cloudflare explique le fonctionnement du schéma 0ktapus. Fondamentalement, une tonne d’employés d’entreprises ciblées (y compris d’anciens employés) reçoivent des messages texte «automatisés» les avertissant que leurs informations de connexion ont expiré. Un lien intégré dans les messages texte mène à une fausse version du site Web de leur employeur, invitant l’utilisateur à mettre à jour son mot de passe.
Chaque entreprise ciblée par cette campagne utilise les services de gestion des identités et des accès d’Okta. Et ils protègent tous les comptes des employés à l’aide de l’authentification à deux facteurs (2FA). Si un appareil inconnu tente de se connecter au compte d’un employé, l’employé reçoit un code de vérification sur son téléphone.
Ainsi, les pages Web d’0ktapus imitent le système d’identification d’Okta. Lorsqu’un employé saisit son nom d’utilisateur et son mot de passe sur une page Web 0ktapus, il est automatiquement transféré vers un canal Telegram secret. Les pirates prennent ces informations et tentent de se connecter au compte d’un employé, déclenchant un processus de vérification 2FA. La victime est invitée à partager un code de vérification 2FA à partir de son téléphone, permettant aux pirates d’accéder au backend d’une entreprise.
Nous ne connaissons pas la raison de ces attaques
Cette campagne de phishing a un récit relativement clair. Group-IB rapporte que 0ktapus ciblait initialement les entreprises de télécommunications, qui auraient pu fournir les numéros de téléphone pour les tentatives de phishing 2FA ultérieures.
La majorité de ces tentatives de phishing visaient les employés de l’entreprise. En théorie, le groupe derrière 0ktapus aurait pu voler n’importe quoi aux entreprises, bien que les rapports actuels suggèrent que le groupe recherchait les données des clients. Ces informations pourraient être utilisées dans de futures attaques contre des entreprises ou des individus, mais malheureusement, nous ne savons pas exactement ce que le groupe 0ktapus a obtenu.
Et c’est là que les choses deviennent un peu frustrantes; la campagne 0ktapus était un peu aléatoire. Les chercheurs de Group-IB l’appellent « amateur », notant que le groupe 0ktapus n’a pas réussi à configurer correctement son kit de phishing.
Comme nous l’avons mentionné précédemment, 0ktapus a amené les gens à partager des codes de vérification 2FA (et des données de connexion) avec des pirates. Mais ces codes de vérification expirent après quelques minutes seulement, de sorte que les pirates ne peuvent pas pénétrer dans un compte s’ils ne sont pas assez rapides. Et évidemment, le groupe 0ktapus s’est assis devant leurs ordinateurs toute la journée pour manuellement saisissez des codes 2FA, plutôt que d’utiliser un bot pour saisir automatiquement des informations et détourner des comptes.
De plus, les victimes de ce stratagème de phishing ont été forcées (par les domaines de phishing) de télécharger une version authentique d’AnyDesk. Vous savez, un logiciel de bureau à distance pour PC. Ce logiciel est complètement inutile lorsqu’il s’agit de cibler des personnes par SMS.
Nous sommes frustrés que des entreprises soient tombées dans le piège d’un stratagème d’hameçonnage « amateur ». Surtout un avec une trace papier aussi claire.
Des chercheurs en sécurité ont peut-être identifié un pirate informatique
Les chercheurs du Group-IB ont découvert 169 domaines uniques associés à 0ktapus. La majorité de ces domaines sont des copies à peine voilées de sites Web d’entreprise et utilisent des URL telles que http://att-mfa.com/
. (Ne visitez pas cette URL, mais veuillez noter qu’elle utilise HTTP au lieu de HTTPS, un signe évident de phishing.)
Group-IB n’a pas eu besoin de partir à la chasse aux oies pour trouver ces domaines. Le groupe derrière 0ktapus a réutilisé les mêmes polices, fichiers image et scripts uniques sur ses faux sites Web. Une fois que vous avez découvert un seul domaine 0ktapus, trouver le reste est un jeu d’enfant.
Plus important encore, Group-IB a analysé le kit de phishing 0ktapus pour trouver son canal Telegram associé. Et un utilisateur de cette chaîne, un programmeur de 22 ans surnommé « Sujet X », a été suivi et identifié. Les commentaires laissés par « Sujet X » dans d’autres groupes Telegram ont révélé leur compte Twitter et leur emplacement présumé.
Malgré le succès relatif d’0ktapus, il s’agit clairement d’une opération amateur. C’est une excellente nouvelle pour les autorités, mais c’est aussi un signe que les entreprises ne prennent pas la sécurité au sérieux.
Que devrais tu faire?
Nous n’en savons toujours pas assez sur la campagne 0ktapus. Vraisemblablement, plusieurs entreprises doivent se manifester et annoncer qu’elles ont été piratées. Compte tenu de l’ampleur de ce stratagème de phishing, cela pourrait prendre des années avant que tous les détails soient révélés.
Cela dit, nous ne pouvons que vous donner les conseils habituels :
- Inspectez toute URL envoyée par e-mail ou SMS.
- N’interagissez pas avec des sites Web qui utilisent HTTP au lieu de HTTPS.
- Si quelqu’un vous envoie une URL ou une demande liée au travail, vérifiez qu’elle est authentique auprès de votre employeur.
- Activez l’authentification à deux facteurs lorsque cela est possible.
- Utilisez un gestionnaire de mots de passe pour générer des identifiants de connexion uniques pour chaque site Web.
- Si votre travail implique des données sensibles, renseignez-vous auprès de l’équipe de sécurité de votre entreprise sur les solutions FIDO2, telles que YubiKey.
- Ajoutez une alerte de fraude à votre dossier de crédit pour réduire l’impact financier du vol d’identité.
Ces étapes amélioreront considérablement votre sécurité. Ils veilleront également à ce qu’en cas de violation de données, vous puissiez réagir rapidement et (espérons-le) vous protéger.
Encore une fois, c’est une histoire en développement. Nous mettrons à jour cet article au fur et à mesure que nous apprendrons de nouvelles informations sur la campagne 0ktapus. Pour les dernières actualités technologiques, rejoignez notre newsletter gratuite.