Il gigante della comunicazione cloud Twilio ha confermato una violazione della conoscenza dopo un proficuo attacco di phishing via SMS incentrato sulle credenziali del suo personale.

Twilio ha affermato che solo pochi membri del personale sono caduti per l’assalto all’ingegneria sociale, esponendo le credenziali di una varietà ristretta dei suoi account di lavoro. L’attore minaccioso ha utilizzato le credenziali rubate per compromettere le tecniche interne di Twilio e inserire informazioni sicure sull’acquirente. Twilio afferma che la violazione delle informazioni ha avuto un impatto su non meno di 125 potenziali clienti.

Con oltre 5.000 dipendenti in 17 sedi internazionali, Twilio offre un’interfaccia API programmabile per contenuti testuali, e-mail, voce e video. L’azienda aiuta oltre 150.000 aziende e 10 milioni di costruttori. Nel 2015, la società ha inoltre acquisito Authy, un fornitore di autenticazione a due fattori programmabile.

La base di consumatori di Twilio comprende aziende di alto profilo che assomigliano a Fb, Stripe, Coca-Cola, Uber, Airbnb, crypto.com, Dell, VMware e Philips. Pertanto, l’aggressione potrebbe avere implicazioni più ampie indipendentemente dalla piccola varietà di vittime.

Gli attori della minaccia hanno impersonato la divisione IT nell’attacco di phishing via SMS di Twilio

Gli aggressori hanno impersonato la divisione IT di Twilio, informando i loro obiettivi che le loro password erano scadute o che i loro programmi erano stati modificati.

In risposta a La dichiarazione di Twilio, i messaggi di phishing contenevano collegamenti ipertestuali a domini contraffatti contenenti frasi come Twilio, SSO e Okta. Gli URL dannosi hanno reindirizzato le vittime a una pagina Web di accesso Twilio finta che ha raccolto le loro credenziali.

“È un caso da libro di fiabe del danno che i collegamenti ipertestuali possono fare. A volte le credenziali compromesse sono derivate da un URL in un messaggio di phishing… Non appena viene cliccato, inizia il ciclo di perdita di conoscenza e lesioni”, Jeannie Warner, direttore della pubblicità e del marketing dei prodotti presso Esameha dichiarato.

Twilio afferma che i messaggi SMS di phishing provenivano da vettori statunitensi. La società di comunicazione cloud ha contattato i fornitori di servizi statunitensi per bloccare i messaggi di phishing SMS e le società di hosting Internet per disabilitare gli account di hosting Internet.

“I messaggi di contenuto testuale provenivano da reti di provider statunitensi. Abbiamo collaborato con i vettori statunitensi per chiudere gli attori e abbiamo collaborato con i fornitori di hosting Internet che servono gli URL dannosi per chiudere questi account”, ha affermato la società.

Tuttavia, gli aggressori avevano deciso di mantenere la campagna di marketing ruotando tramite vettori e fornitori di hosting Internet. Inoltre, potrebbero abbinare i nomi dei lavoratori ai numeri di cellulare. Inoltre, hanno contattato l’ex staff di Twilio suggerendo di aver deliberato l’attacco di phishing tramite SMS in modo efficace in anticipo.

Basandosi principalmente su questi elementi, l’azienda ha concluso che gli attori malintenzionati sono ben organizzati, sottili e metodici nelle loro azioni.

Twilio non ha rivelato l’identificazione degli attori della minaccia responsabili dell’attacco di phishing tramite SMS o il carattere della conoscenza che hanno rubato. L’azienda raccoglie numerosi fattori di informazione, insieme a indirizzi IP, dati sui costi e prove di identificazione.

L’azienda di comunicazioni cloud ha revocato l’accesso agli account compromessi, ha avviato un’indagine e ha avviato attività di applicazione della legislazione. Twilio ha inoltre informato i potenziali clienti interessati. Inoltre, l’azienda aveva riattivato il necessario coaching sulla sicurezza per mantenere il proprio personale in allerta eccessiva per aggressioni di ingegneria sociale.

“Insieme al comune coaching sulla consapevolezza della sicurezza informatica, alla formazione anti-phishing e al divieto di accesso a informazioni aziendali basate principalmente sull'”impresa da conoscere” di un consumatore sono deterrenti altamente efficaci”, Neil Jones, direttore di cybersecurity evangelism presso Egnite, ha dichiarato. “Devi inoltre rieducare i clienti della tua organizzazione sul fatto che gli attacchi di phishing non avvengono esclusivamente tramite e-mail”.

Cloudflare, fornitore della comunità di fornitura di materiale per contenuti focalizzati sull’assalto di phishing tramite SMS

Content material supply community (CDN) Cloudflare ha confermato di essere focalizzato su a simile attacco di phishing via SMS concentrandosi su 76 dipendenti. Tre membri dello staff di Cloudflare si sono innamorati del trucco e hanno rivelato le loro password. Tuttavia, l’autenticazione MFA basata su hardware dell’azienda ha bloccato l’accesso non autorizzato.

Il fornitore della CDN ha risposto bloccando i domini dannosi, individuando il personale colpito, ripristinando le proprie credenziali e si è coordinato con DigitalOcean per chiudere il server dell’attaccante e Porkbun per impossessarsi dell’area.

Cloudflare e Twilio hanno affermato che difendersi dall’attacco di phishing tramite SMS non era praticamente possibile. Inoltre, le aziende non sono state in grado di decidere come gli attori malintenzionati hanno ottenuto i numeri di cellulare del personale e le persone dei loro parenti.

“Il presunto attacco informatico al fornitore di autenticazione digitale Twilio ci ricorda che i pacchetti di sicurezza IT delle organizzazioni sono robusti solo quanto i loro collegamenti ipertestuali più deboli”, ha affermato Jones. “Proprio qui, vediamo come l’ingegneria sociale e le tecniche di ‘smishing’ possono comportare l’accesso fraudolento all’account e alla fine influenzare la popolarità di un modello”.

Jones ha aggiunto che l’assalto ha dimostrato il “rapporto intimo e tecnico” che il personale aveva con i loro gadget cellulari.

“La violazione di Twilio che ha consentito agli hacker di accedere alle informazioni dei potenziali clienti evidenzia quanto siano essenziali un’amministrazione e un’infrastruttura di ingresso robuste per prendersi cura di una solida sicurezza”, Tim Prendergrast, CEO di forteDM, ha dichiarato. “Gli aggressori sono incessantemente alla ricerca di metodi per le tecniche interne in quanto garantisce loro un passaggio VIP nei database e server e accesso a tutto ciò di cui le aziende non hanno bisogno sono trapelati pubblicamente”.

I messaggi di #phishing SMS contenevano collegamenti a domini contraffatti contenenti parole come Twilio, SSO e Okta. Le vittime sono state reindirizzate a una pagina di accesso Twilio falsa che ha raccolto le loro credenziali. #sicurezza informatica #rispetto dei datiClicca per twittare

In risposta a Mark Bower, VP of Product Administration presso Sicurezza Anjunatrasformare il personale fidato in minacce interne era una soluzione meno costosa e ideale per aggirare i controlli di sicurezza convenzionali.

“Non appena all’interno con una gamma di privilegi eccessivi, gli aggressori coordinati possono scatenare caos e furti, manipolando informazioni, rubando anche informazioni estremamente delicate come le chiavi per scopi operativi”.

Basandosi sul successo delle precedenti edizioni, Open Banking Hackathon – Versione CEElanciato nella data storica, in ambito monetario, del 14 settembre 2019 in cui la PSD2 è andata a dimorare in Europa, sta preparando la sua quarta versione del problema dell’innovazione competitor.

L’occasione ibrida si può tenere tra il 26 e il 30 settembre 2022 e può contenere fonti necessarie dall’Europa centrale e giapponese, preoccupate per la spinta all’innovazione fintech.

L’open banking resta relativamente agli inizi nel suo viaggio verso il rimodellamento dei fornitori di denaro e c’è ancora del lavoro da fare per insegnare ai giocatori le alternative che offre per aumentare i loro risultati e aiutarli a migliorare le loro scelte per i clienti.

“Sono estremamente entusiasta delle alternative che l’open banking ha scoperto e immagino che aumenterebbe notevolmente i concorrenti, la trasparenza e i prezzi in tutto il panorama dei fornitori di moneta e che prima o poi possa comportare una maggiore inclusione monetaria, rendendo i dati e il capitale più accessibili a persone extra. ” stati Cosmin Cosmaco-fondatore e amministratore delegato di Finqwareuna piattaforma di aggregazione di API monetarie middleware per interconnettere aziende e fintech con le banche.

Già alla sua quarta versione, Open Banking Hackathon – CEE Version avverrà in un formato ibrido tra il ventiseiesimo e il trentesimo settembre 2022.

Gruppi provenienti da 10 località internazionali europee (Polonia, Romania, Bulgaria, Ungheria, Austria, Croazia, Slovenia, Slovacchia, Repubblica Ceca e Grecia) sono invitati a partecipare al problema e costruire scopi di creazione di valore sulla base della collaudata conoscenza dell’open banking piattaforma di aggregazione offerta da Finqware.

“Aspiriamo ad avere Hackathon bancario aperto essere l'”Eurovision Contest” per l’innovazione nell’open banking. I nostri compagni sono preoccupati di servirci per rendere questa versione CEE un enorme successo, come un modo per gettare le basi per lo sviluppo della consapevolezza dell’occasione nei prossimi anni”, ha aggiunto Cosmin Cosma.

Supportato nel corso degli anni da società di competenze necessarie come Google Nubee le istituzioni monetarie corrispondenti a Istituto finanziario nazionale di Romania, Alfa istituto finanziario Romania, Banca Commerciale Romana, Raiffeisen Istituto finanziario In tutto il mondo, Banca Transilvania, OTP Istituzione finanziaria, Varengold Istituzione finanziaria, BRD SocGen e UniCredit Bulbank l’occasione è riuscita a sviluppare 12 mesi per 12 mesi in un relativo hub di risorse utili e una piattaforma di lancio per le fintech principianti.

Diversi compagni di supporto che hanno costantemente contribuito al successo dell’occasione sono associazioni fintech, comunità di innovazione e acceleratori di startup come BNR Innovazione Fintech Centro, Undici Acceleratore, Ascensore Laboratorio, OTP Laboratorio, InnovX-BCR, Acceleratore tecnologico, Fintech rumeno Affiliazione, Fintech bulgara Affiliazione, slovacco Fintech Affiliazione, ceco Fintech Affiliazionee molti altri stanno diventando membri dell’abbonamento ogni giorno.

“Open Banking Hackathon è stata proprio l’occasione che stavamo cercando per scoprire, sperimentare e migliorare il nostro prodotto. È stato bello vedere molti aiuti per l’innovazione dell’open banking all’interno del settore, ciascuno per quanto riguarda suggerimenti e disponibilità per una collaborazione aggiuntiva”. Dan Cobeanu, ProxyCash RomaniaVincitore dei concorrenti OBH 2021.

Durante i 5 giorni dell’hackathon, i gruppi affronteranno tre sfide principali nell’open banking:

• Le persone – finalità di amministrazione di finanza privata; robo-advisory per la crescita del benessere monetario; migliorare l’inclusività monetaria; opzioni di tasse di laurea successive.
• Impresa – ottimizzare l’amministrazione della tesoreria per le imprese; buona amministrazione monetaria per le PMI; copertura valutaria transfrontaliera per le società; situazioni di fondi in blocco rispetto all’avvio della commissione.
• IoT – utilizzare dispositivi indossabili per gestire la vita monetaria; scopi di programmi software automobilistici; buone città.

La 4a versione di Open Banking Hackathon – CEE Version porta premi tra cui fino a € 10.000 in premi in denaro, vantaggi complici e fornitori, oltre a partnership PoC. Inoltre, i gruppi partecipanti sperimenteranno 5 giorni di networking e lezioni individuali di suggerimenti per i tutor, per perfezionare ulteriormente i loro concetti e migliorare la loro merce.

“L’occasione ha messo in evidenza punti bancari di cui non ero consapevole erano stati aperti a interruzioni. Mi ha fatto ripensare a certe idee e mi ha dato la possibilità di innovare”. Kristian Stefanov, Asciutto I soldiBulgaria, Secondo classificato OBH 2021.

Di: Ravie Lakshmanan
Giovedì la US Cybersecurity and Infrastructure Safety Company (CISA) ha aggiunto due difetti al suo catalogo delle vulnerabilità sfruttate riconosciute, citando prove di sfruttamento energetico.
I 2 punti di alta gravità si riferiscono a punti deboli in Zimbra Collaboration, ognuno dei quali potrebbe essere concatenato per ottenere l’esecuzione di codice a distanza non autenticato sui server di posta elettronica interessati –
CVE-2022-27925 (valutazione CVSS: 7.2) – Esecuzione di codice a distanza (RCE) tramite mboximport da consumatore autenticato (fissato nelle variazioni 8.8.15 Patch 31 e 9.0.0 Patch 24 lanciate a marzo)
CVE-2022-37042 – Bypass di autenticazione in MailboxImportServlet (fissato nelle variazioni 8.8.15 Patch 33 e 9.0.0 Patch 26 lanciate ad agosto)

“Se stai utilizzando un modello Zimbra precedente a Zimbra 8.8.15 patch 33 o Zimbra 9.0.0 patch 26, è meglio sostituirlo con la patch più recente il più rapidamente possibile”, ha avvertito Zimbra all’inizio di questa settimana.
La CISA non ha condiviso alcuna informazione sugli assalti che sfruttano i fallimenti, tuttavia l’agenzia di sicurezza informatica Volexity ha descritto lo sfruttamento di massa in natura delle situazioni di Zimbra da parte di uno sconosciuto attore di minaccia.
In poche parole, gli assalti contengono sfruttare al massimo il difetto di bypass dell’autenticazione sopra menzionato per realizzare l’esecuzione di codice a distanza sul server sottostante importando dati di record arbitrari.

Volexity ha affermato che “poteva aggirare l’autenticazione durante l’accesso all’endpoint identico (mboximport) utilizzato da CVE-2022-27925” e che il difetto “potrebbe essere sfruttato senza credenziali amministrative legittime, rendendo così la vulnerabilità considerevolmente più importante in termini di gravità. “
Ha inoltre individuato oltre 1.000 situazioni a livello globale che erano state violate e compromesse utilizzando questo vettore di assalto, alcune delle quali appartengono a dipartimenti e ministeri delle autorità; rami dell’esercito; e aziende con miliardi di {dollari} di reddito.

Gli assalti, che si sono verificati solo all’inizio di giugno 2022, hanno anche riguardato il dispiegamento di shell Internet per occuparsi dell’accesso a lungo termine ai server contaminati. Le località internazionali elevate con le situazioni essenzialmente più compromesse comprendono Stati Uniti, Italia, Germania, Francia, India, Russia, Indonesia, Svizzera, Spagna e Polonia.
“CVE-2022-27925 era inizialmente elencato come un exploit RCE che richiedeva l’autenticazione”, ha affermato Volexity. “Quando mescolato con un bug separato, tuttavia, si è trasformato in un exploit RCE non autenticato che ha reso banale lo sfruttamento a distanza”.
La divulgazione arriva ogni settimana dopo che CISA ha aggiunto un altro bug relativo a Zimbra, CVE-2022-27924, al catalogo, che, se sfruttato, potrebbe consentire agli aggressori di rubare credenziali in chiaro ai clienti delle situazioni focalizzate.