Amerykańska firma technologiczna padła ofiarą vishingu

Firma Optimizely potwierdziła naruszenie bezpieczeństwa po skutecznym ataku typu vishing.

Vishing to oszustwo telefoniczne, w którym przestępcy podszywają się pod zaufane instytucje lub osoby, aby wyłudzić wrażliwe dane, kody SMS, hasła lub nakłonić do przelewu pieniędzy. W tym przypadku, w wyniku ataku nieuprawnione osoby uzyskały dostęp do wybranych systemów wewnętrznych.

Optimizely to amerykańska firma technologiczna specjalizująca się w oprogramowaniu typu Digital Experience Platform (DXP), czyli platformie do tworzenia, testowania i optymalizacji doświadczeń użytkowników w aplikacjach i na stronach internetowych.

Przebieg incydentu

Według informacji opublikowanych przez BleepingComputer, cyberprzestępcy skontaktowali się telefonicznie z pracownikami firmy, podszywając się pod wewnętrzny dział IT.

W trakcie rozmów wykorzystano presję czasu oraz autorytet rzekomego wsparcia technicznego, aby skłonić pracowników do podania danych uwierzytelniających oraz kodów potrzebnych do wieloskładnikowego uwierzytelniania (MFA).

Uzyskane w ten sposób poświadczenia umożliwiły dostęp do wybranych systemów, w tym narzędzi CRM oraz platform obsługi zgłoszeń. Naruszenie objęło dane kontaktowe klientów oraz informacje biznesowe przechowywane w systemach wsparcia.

Firma zaznaczyła, że nie znaleziono dowodów na kompromitację haseł klientów ani danych finansowych, jednak sam fakt uzyskania dostępu do środowisk operacyjnych znacząco podnosi poziom ryzyka reputacyjnego i regulacyjnego. Sam incydent został wykryty stosunkowo szybko, niemniej jednak analiza powłamaniowa potwierdziła, że atak miał charakter ukierunkowany i był poprzedzony rozpoznaniem struktury organizacyjnej spółki.

Vishing to skuteczna metoda obejścia MFA

W przeciwieństwie do phishingu mailowego, atak głosowy pozwala cyberprzestępcy reagować na bieżąco na wątpliwości ofiary, budować narrację opartą na rzekomych incydentach bezpieczeństwa oraz wykorzystywać autentyczne dane pozyskane z wcześniejszego rekonesansu.

W praktyce oznacza to, że nawet organizacje stosujące uwierzytelnianie wieloskładnikowe (MFA) mogą być narażone na przejęcie już uwierzytelnionych sesji, jeśli nie wprowadzą dodatkowych zabezpieczeń, takich jak uwierzytelnianie odporne na phishing, które nie opiera się na kodach możliwych do przekazania osobom trzecim.

Optimizely poinformowało o podjęciu działań naprawczych, w tym unieważnieniu zagrożonych poświadczeń, wzmocnieniu monitoringu oraz przeprowadzeniu dodatkowych szkoleń dla personelu.

Wnioski z incydentu

Podjęte przez Optimizely działania naprawcze były jak najbardziej słuszne, jednak z tego incydentu można wyciągnąć kilka dodatkowych wniosków.

Po pierwsze, organizacje powinny stosować politykę całkowitego zakazu udostępniania kodów MFA. Same szkolenia pracowników są niewystarczające, jeśli nie weryfikuje się ich skuteczności, dlatego zaleca się również przeprowadzanie symulowanych kampanii vishingowych.

Równie istotne jest ograniczanie uprawnień zgodnie z zasadą najmniejszych przywilejów oraz wdrażanie mechanizmów uniemożliwiających wykorzystanie przechwyconych kodów jednorazowych poza kontekstem autentycznej sesji użytkownika.

Atak na Optimizely nie był odosobnionym incydentem, lecz częścią szerszego trendu, w którym cyberprzestępcy coraz częściej omijają zabezpieczenia techniczne poprzez manipulację personelem.