通信会社 Twilio は 8 月の初めに侵害を受け、163 の顧客組織に影響を与えたという。 Twilio の 270,000 のクライアントのうち、0.06% は些細なことのように思えるかもしれませんが、デジタル エコシステムにおける Twilio の特定の役割は、被害者のほんの一部が非常に大きな価値と影響力を持っていたことを意味します。 安全なメッセージ アプリ 信号、2 要素認証アプリの Authy、認証会社の Okta はすべて、侵害の二次的な被害者となった Twilio の顧客です。
Twilio は、企業が通話およびテキスト サービスを自動化できるアプリケーション プログラミング インターフェイスを提供します。 これは、理容師がヘアカットについて顧客に思い出させ、顧客に「確認」または「キャンセル」と返信させるために使用するシステムを意味する可能性があります。 しかし、組織がワンタイム認証コードを送信するための 2 要素認証テキスト メッセージング システムを管理するためのプラットフォームになることもあります。 SMS がこれらのコードを受信する方法として安全でないことは以前から知られていましたが、何もないよりはましであることは間違いありません。 認証コード生成アプリをコア製品とする Authy のような企業でさえ、Twilio のサービスの一部を使用しています。
「0ktapus」や「Scatter Swine」と呼ばれるアクターによる Twilio ハッキング キャンペーンは、フィッシング攻撃が攻撃者にターゲット ネットワークへの貴重なアクセスを提供するだけでなく、サプライ チェーン攻撃を開始することさえできることを示しているため、重要です。ある会社のシステムにアクセスすると、クライアントのシステムへのウィンドウが提供されます。
雇用主が Twilio と契約を結んでいるという理由で匿名を希望したあるセキュリティ エンジニアは、「これは史上最も洗練された長期型ハッキングの 1 つとして記憶に残ると思います」と述べています。 「これは、非常に的を絞ったものでありながら広範にわたる忍耐強いハッキングでした。 多要素認証を利用して、世界を利用しましょう。」
攻撃者は、大規模かつカスタマイズされたフィッシング キャンペーンの一環として、Twilio を侵害しました。 130以上の組織 攻撃者が標的の企業の従業員にフィッシング SMS テキスト メッセージを送信した。 多くの場合、メールは企業の IT 部門またはロジスティクス チームから送信されたと主張し、受信者にリンクをクリックしてパスワードを更新するか、ログインしてスケジュールの変更を確認するように促していました。 Twilio によると、悪意のある URL には「Twilio」、「Okta」、「SSO」などの単語が含まれており、URL とそれがリンクする悪意のあるランディング ページをより正当なものに見せかけているという。 攻撃者はキャンペーンでインターネット インフラストラクチャ企業 Cloudflare も標的にしましたが、同社は 言った 8 月の初めには、従業員のアクセスが制限され、ログインに物理的な認証キーが使用されているため、侵害されていないことがわかりました。
Abnormal Security の脅威インテリジェンス担当ディレクターであり、FBI の元デジタル行動アナリストである Crane Hassold は、次のように述べています。 「攻撃者が最初の標的として電子メールから遠ざかり始めているのを目にするようになりました。組織内でテキスト メッセージ アラートがより一般的になるにつれて、この種のフィッシング メッセージがより成功するようになるでしょう。 逸話的に言えば、今では常に取引しているさまざまな企業からテキスト メッセージを受け取っていますが、1 年前はそうではありませんでした。」