Revisión del incidente: Twilio Smishing Attack

Este pasado mes de agosto se informó que Twilio, líder de la industria para el desarrollo de aplicaciones en la nube, sufrió un incidente. Esto tuvo un impacto en la industria, ya que la compañía brinda varios servicios populares, como mensajes de texto automatizados y llamadas para la verificación en 2 pasos. Algunas de las empresas más importantes que utilizan Twilio son Reddit, Airbnb, Uber y Facebook entre muchas otras. Twilio es muy popular entre los desarrolladores de software, con más de 190.000 empresas que lo utilizan, lo que permite 932 mil millones de interacciones anualmente.

El 4 de agosto de 2022 se llevó a cabo un ataque de ingeniería social contra varios empleados de Twilio. El propósito de este ataque por SMS de phishing era engañar a los empleados de la compañía, haciéndolos entregar sus credenciales. Luego, las credenciales se utilizaron para obtener acceso a la información privada de los clientes de la compañía.

El ataque consistió en enviar mensajes de texto a los empleados de Twilio, haciéndose pasar por el departamento de TI de la compañía, y pidiendo a los empleados que iniciaran sesión en las cuentas de su empresa, a través de un enlace malicioso. El enlace llevó a los empleados a una página haciéndose pasar por ser de la empresa, donde se les pidió que ingresaran sus credenciales, para realizar un cambio de contraseña o cambio de horario. Después de que los empleados presentaron sus credenciales, los atacantes las robaron para obtener datos confidenciales de los clientes de Twilio. La campaña fue a través de enlaces que incluían palabras clave como “Twilio”, “Okta” y “SSO”, por lo tanto, era fácil engañar a los empleados.

‍

Inicialmente, solo se identificaron 163 clientes de Twilio a quienes se accedió a sus datos, además de 93 usuarios de Authy (Twilio compró Authy en 2015, y la plataforma de Twilio permite el uso de diversos elementos de Authy). Finalmente se informó que los atacantes lograron acceder a datos de 209 clientes de Twilio. Se especula que uno de los clientes afectados de Twilio sea la aplicación Signal ya que sus empleados fueron notificados del robo de información y 1900 usuarios de la posible divulgación de sus números telefónicos. Además, la aplicación de entrega de alimentos DoorDash declaró que se accedió a un pequeño porcentaje de la información de sus clientes. Esta información incluía nombres, correo, dirección de entrega, número de teléfono e información de pago parcial. Twilio informa que no hay evidencia de que los hackers hayan accedido a la consola de credenciales de clientes de Twilio, tokens de autenticación o claves API y que no se ha registrado ninguna actividad sospechosa adicional desde el 10 de agosto.

El ataque a Twilio es parte de una campaña más grande llevada a cabo por un hacker llamado 0ktapus. Este hacker atacó a más de 130 organizaciones, en su mayoría dedicadas a TI, desarrollo de software y servicios en la nube, incluyendo MailChimp y Cloudflare. El modus operandi del hacker consistió como en el caso de Twilio, en identificar primero el número telefónico de los empleados, para posteriormente atacarlos “smishing” a través de textos o llamadas telefónicas, llevando a los empleados a ingresar al enlace de las páginas falsas para obtener sus credenciales, y finalmente utilizar las credenciales para obtener datos de los clientes. Los expertos señalan que se utilizaron métodos de habilidad de bajo nivel y sin embargo muchas cuentas fueron comprometidas, por lo que se supone que el ataque fue cuidadosamente planeado.

‍

Esta fue la segunda vez que Twilio recibió un ataque del mismo actor, la primera fue el 29 de junio de 2022. El ataque de junio a diferencia del ataque de agosto fue a través de una llamada telefónica “vishing”, en la que un empleado entregó credenciales que el hacker utilizó para acceder a datos de un número limitado de clientes. El acceso del atacante fue eliminado en tan solo 12 horas. Al igual que con la campaña reciente, los clientes fueron notificados, en este caso el 2 de julio.

Como medida del reciente ataque, Twilio llevó a cabo una investigación del incidente con una importante firma forense y eliminó el acceso a cuentas comprometidas a los empleados. Los empleados fueron notificados de las tácticas de estos atacantes y se les pidió que tomaran capacitación en seguridad de ataque de ingeniería social. Todos los clientes afectados fueron notificados de la situación y se retiraron los dispositivos no autorizados. Se solicitó eliminar todos los dominios falsos que se hacen pasar por Twilio. El inicio de sesión y el control de los empleados en la VPN de la compañía fueron fortificados. También se reforzaron los derechos del administrador sobre diversas herramientas.

Día a día el número de ataques en campañas de phishing solo aumenta, por lo tanto es importante como empresa brindar una buena capacitación a los empleados, fortalecer las medidas de seguridad para el acceso a cualquier información sensible y realizar auditorías de manera regular. El robo de datos impacta la reputación de la empresa y la confianza de sus clientes.

Referencias

• Wallis, J. (9 de mayo de 2022). ¿Qué es twilio? Una guía completa para entender twilio en 2022. WEBO Digital. Recuperado el 7 de diciembre de 2022 de https://webo.digital/blog/what-is-twilio-a-complete-guide-to-twillio/
• Lista de empresas que utilizan Twilio, cuota de mercado y lista de clientes. InfoClutch. (27 de junio de 2022). Recuperado el 7 de diciembre de 2022, de https://www.infoclutch.com/installed-base/unified-communications/twilio/#:~:text=Some%20of%20the%20top%20companies,Reddit%2C%20Airbnb%2C%20and%20Uber.
• Newman, L. H. (26 de agosto de 2022). Por qué la brecha de twilio es tan profunda. Alámbrico. Recuperado el 7 de diciembre de 2022 de https://www.wired.com/story/twilio-breach-phishing-supply-chain-attacks/
• Paganini, P. (30 de octubre de 2022). Twilio revela otro incidente de seguridad que tuvo lugar en junio. Asuntos de Seguridad. Recuperado el 7 de diciembre de 2022 de https://securityaffairs.co/wordpress/137782/data-breach/twilio-new-data-breach.html
• Seguridad. (27 de octubre de 2022). Reporte de incidentes: compromiso de cuenta de empleados y clientes - 4 de agosto de 2022. Twilio Blog. Recuperado el 7 de diciembre de 2022, de https://www.twilio.com/blog/august-2022-social-engineering-attack
• Jena, B. K. (2022). Diagrama de ataque de phishing. ¿Qué es el ataque de phishing? Definición, Tipos y Cómo Prevenirlo. Recuperado el 7 de diciembre de 2022, de https://www.simplilearn.com/tutorials/cryptography-tutorial/what-is-phishing-attack.
• Ilevičius, P. (2019). Smishing explicó. Consultado el 7 de diciembre de 2022, de nordvpn.com.
• Castillo, C. (2019). Phishing, vishing y smishing. Phishing, vishing y smishing: ¿qué son y cómo puedes protegerte? Recuperado el 7 de diciembre de 2022, de https://www.bbva.com/en/phishing-vishing-and-smishing-what-are-they-and-how-can-you-protect-yourself/.