El gigante de las comunicaciones tiene 268.000 cuentas de clientes activas
La plataforma de participación del cliente Twilio reveló el lunes que un "sofisticado" actor de amenazas obtuvo "acceso no autorizado" utilizando una campaña de phishing basada en SMS dirigida a su personal para obtener información sobre un "número limitado" de cuentas.
El ataque de ingeniería social estaba empeñado en robar las credenciales de los empleados, dijo la compañía, definiendo al adversario aún no identificado como "bien organizado" y "metódico en sus acciones". El incidente salió a la luz el 4 de agosto.
"Este ataque de amplia base contra nuestra base de empleados logró engañar a algunos empleados para que proporcionaran sus credenciales", dijo en un aviso. "Los atacantes usaron luego las credenciales robadas para obtener acceso a algunos de nuestros sistemas internos, donde pudieron acceder a ciertos datos de los clientes".
El gigante de las comunicaciones tiene 268.000 cuentas de clientes activas y cuenta entre sus clientes con empresas como Airbnb, Box, Dell, DoorDash, eBay, Glassdoor, Lyft, Salesforce, Stripe, Twitter, Uber, VMware, Yelp y Zendesk. También posee el popular servicio de autenticación de dos factores (2FA) Authy.
Twilio, que aún continúa su investigación sobre el ataque, señaló que está trabajando directamente con los clientes que se vieron afectados. No reveló la escala del ataque, la cantidad de cuentas de empleados que se vieron comprometidas o a qué tipo de datos se pudo haber accedido.
Se sabe que los esquemas de phishing, que aprovechan tanto el correo electrónico como los SMS, se basan en agresivas tácticas de miedo para obligar a las víctimas a entregar su información confidencial. Esta no es una excepción.
Se dice que los mensajes SMS se enviaron a empleados actuales y anteriores haciéndose pasar por su departamento de TI, atrayéndolos con notificaciones de caducidad de contraseña para hacer clic en enlaces maliciosos.
Las URL incluían palabras como "Twilio", "Okta" y "SSO" (abreviatura de inicio de sesión único) para aumentar las posibilidades de éxito y redirigir a las víctimas a un sitio web falso que suplantaba la página de inicio de sesión de la empresa. No está claro de inmediato si las cuentas violadas estaban protegidas por protecciones 2FA.
Twilio dijo que los mensajes se originaron en las redes de los operadores de EE. UU. y que trabajó con el servicio de telecomunicaciones y los proveedores de alojamiento para cerrar el esquema y la infraestructura de ataque utilizada en la campaña. Sin embargo, los esfuerzos de eliminación se han visto contrarrestados por la migración de los atacantes a otros operadores y proveedores de alojamiento.
"Además, los actores de amenazas parecían tener sofisticadas habilidades para hacer coincidir los nombres de los empleados de las fuentes con sus números de teléfono", señaló.
Desde entonces, la firma con sede en San Francisco revocó el acceso a las cuentas de los empleados comprometidos para mitigar el ataque, y agregó que está examinando medidas de seguridad técnicas adicionales como medida preventiva.
La divulgación llega cuando el phishing continuo sigue siendo una gran amenaza que enfrentan las empresas. El mes pasado, se supo que el hackeo de $620 millones de Axie Infinity fue la consecuencia de que uno de sus ex empleados fue engañado por una oferta de trabajo fraudulenta en LinkedIn.
