Hackers Εκμεταλλεύονται Cloud και Deepfakes για Κλοπή Κρυπτονομισμάτων
Μια εταιρεία software ανακάλυψε, ότι 27 από τους πελάτες της στο cloud είχαν τους λογαριασμούς τους παραβιασμένους σε μια επίθεση social engineering-κοινωνικής μηχανικής από hackers που βασίστηκε σε SMS. Η εταιρεία απέδωσε τη σοβαρότητα της παραβίασης σε μια λειτουργία συγχρονισμού του cloud λογαριασμού της Google, χαρακτηρίζοντάς την ως “dark pattern”.
Η επίθεση προήλθε από μια προσπάθεια phishing μέσω SMS, με στόχο τους υπαλλήλους της εταιρείας. Οι δράστες παρίσταναν μέλη της ομάδας IT και παρέχοντας οδηγίες στους παραλήπτες, τους κάλεσαν να κάνουν κλικ σε έναν φαινομενικά νόμιμο σύνδεσμο για να αντιμετωπίσουν ένα πρόβλημα σχετικά με την αποδοχή του μισθού τους. Ένας υπάλληλος έπεσε θύμα της απάτης, με αποτέλεσμα να αποκαλύψει άθελά του τα διαπιστευτήρια, σε μια πλαστή σελίδα.
Στο επόμενο στάδιο, οι hackers προσποιήθηκαν, ότι είναι η IT ομάδα, δημιουργώντας μια “actualvoice” ενός υπαλλήλου και κάλεσαν το θύμα, για να αποκτήσουν τον multi-factor authentication (MFA) κωδικό. Ο εισβολέας αξιοποίησε τον one-time password (OTP) που μοιράστηκε κατά τη διάρκεια της κλήσης για να προσθέσει τη δική του προσωπική συσκευή στον λογαριασμό του υπαλλήλου. Αυτό του παρείχε πλήρη έλεγχο στον λογαριασμό του Google και πρόσβαση στους κωδικούς OTP που αποθηκεύονται στο Google Authenticator.
Επειδή ο υπάλληλος είχε ενεργοποιήσει τη λειτουργία συγχρονισμού στο cloud του Google Authenticator, οι χάκερς απέκτησαν μεγαλύτερη πρόσβαση στα εσωτερικά συστήματα διαχείρισης. Ως αποτέλεσμα, ανέλαβαν τον έλεγχο των λογαριασμών 27 πελατών στην κρυπτονομισματική βιομηχανία.Οι επιτιθέμενοι άλλαξαν τα ηλεκτρονικά ταχυδρομεία και επαναφόρτισαν τους κωδικούς για αυτούς τους χρήστες, με αποτέλεσμα να προκληθούν σημαντικές απώλειες. Ένας χρήστης αναφέρει, ότι έχασε σχεδόν 15 εκατομμύρια δολάρια αξίας κρυπτονομίσματος.
Η συγκεκριμένη επίθεση αποκαλύπτει την ευάλωτη φύση της συγχρονισμένης χρήσης ενός one-time password στο cloud, που ανατρέπει την αξιοπιστία της πιστοποίησης μέσω του “something the user has” (κάτι που έχει ο χρήστης). Για να αντιμετωπίσουν το πρόβλημα, συνιστάται στους χρήστες να εμπιστευτούν ασφαλείς συσκευές που υποστηρίζουν το FIDO2 ή να χρησιμοποιήσουν passkeys, προκειμένου να μειώσουν τον κίνδυνο να πέσουν θύματα απάτης μέσω τέτοιου είδους επικίνδυνων τεχνικών.
Παρά το γεγονός ότι η ακριβής ταυτότητα των hackers παραμένει αδιευκρίνιστη, οι τακτικές τους μοιάζουν με αυτές ενός απειλούμενου οικονομικού παράγοντα, γνωστού για τη χρήση εξελιγμένων τακτικών ψευδο-αλληλογραφίας. Η χρήση deepfakes και συνθετικών μέσων σε τέτοιου είδους επιθέσεις έχει προκαλέσει ανησυχία στην αμερικανική κυβέρνηση. Έχει τονιστεί η πιθανή χρήση τους σε κακόβουλες δραστηριότητες, όπως επιθέσεις εκμετάλλευσης επιχειρηματικού ηλεκτρονικού ταχυδρομείου (BEC) και απάτη με κρυπτονομίσματα.
