Πάνω από 130 εταιρείες, συμπεριλαμβανομένων των Twilio, DoorDash και Cloudflare, έχουν παραβιαστεί από χάκερ στο πλαίσιο μιας πολύμηνης εκστρατείας ηλεκτρονικού ψαρέματος με το παρατσούκλι «0ktapus». Σύμφωνα με μια έκθεση ασφάλειας, τα διαπιστευτήρια σύνδεσης που ανήκαν σε σχεδόν 10.000 άτομα κλάπηκαν από χάκερς που μιμήθηκαν τη δημοφιλή υπηρεσία ενιαίας σύνδεσης Okta.
Οι εισβολείς χρησιμοποίησαν αυτήν την πρόσβαση σε λογαριασμούς pivot και επίθεσης σε άλλες υπηρεσίες. Στις 15 Αυγούστου, η υπηρεσία ασφαλών μηνυμάτων Signal ειδοποίησε τους χρήστες ότι η παραβίαση του Twilio από τους εισβολείς οδήγησε στη διαρροή δεδομένων έως και 1.900 λογαριασμών Signal και επιβεβαίωσε μάλιστα ότι σε μέσα από τους οποίους μάλιστα μπορούν να στέλνουν και να λαμβάνουν μηνύματα. Αυτή την εβδομάδα η Twilio ενημέρωσε μέσω ειδοποίησης, ότι οι λογαριασμοί 163 πελατών επλήγησαν καθώς και ότι 93 χρήστες του Authy, της υπηρεσίας cloud, έχασαν την πρόσβαση στους λογαριασμούς τους και οι εισβολείς πρόσθεσαν άλλες συσκευές σε αυτούς.
Κατά την επίθεση phishing στάλθηκαν μηνύματα που ανακατεύθυναν τους χρήστες σε ιστότοπο ηλεκτρονικού ψαρέματος. Όπως αναφέρει η έκθεση του Group-IB, «Ο ιστότοπος ηλεκτρονικού ψαρέματος φαίνεται αρκετά πειστικός, καθώς μοιάζει πολύ με τη σελίδα ελέγχου ταυτότητας που έχουν συνηθίσει να βλέπουν οι χρήστες». Από τα θύματα ζητήθηκε το όνομα χρήστη, ο κωδικός πρόσβασής τους και ένας κωδικό ελέγχου ταυτότητας δύο παραγόντων. Οι πληροφορίες αυτές στάλθηκαν στη συνέχεια στους δράστες.
Παρά το γεγονός ότι φαίνεται οι δράστες της επίθεσης να είναι άπειροι, η κλίμακα της επίθεσης είναι τεράστια, με το Group-IB να εντοπίζει 169 μοναδικούς τομείς που στοχεύει η επίθεση. Η 0ktapus ξεκίνησε γύρω στον Μάρτιο του 2022 και μέχρι στιγμής έχουν κλαπεί περίπου 9.931 διαπιστευτήρια σύνδεσης, στοχεύοντας πολλές βιομηχανίες, συμπεριλαμβανομένων των χρηματοοικονομικών, των τυχερών παιχνιδιών και των τηλεπικοινωνιών. Ανάμεσα στους στόχους είναι οι Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games και Epic Games.
Η συμβουλή που δίνεται για να αποφύγετε μια παρόμοια απάτη είναι να ελέγχετε πάντα τη διεύθυνση URL οποιουδήποτε ιστότοπου όπου εισάγετε στοιχεία σύνδεσης και να αντιμετωπίζετε με καχυποψία διευθύνσεις URL που λαμβάνονται από άγνωστες πηγές. Για πρόσθετη προστασία, μπορείτε να χρησιμοποιήσετε ειδικά κλειδιά ασφαλείας δύο παραγόντων “μη ηλεκτρονικού ψαρέματος”.
