top of page
Buscar

Análisis de Incidente: Ataque de smishing contra Twilio


Smishing Explained. (2019, 22 noviembre). NordVPN. https://nordvpn.com/blog/smishing/

En agosto pasado se informó que Twilio, líder en la industria del desarrollo de aplicaciones en la nube, sufrió un incidente. Esto tuvo un impacto en la industria, ya que la empresa ofrece varios servicios populares, como mensajes de texto automatizados y llamadas para la verificación en dos pasos. Algunas de las empresas más importantes que utilizan Twilio son Reddit, Airbnb, Uber y Facebook, entre muchas otras. Twilio es muy popular entre los desarrolladores de software, con más de 190 000 empresas usándolo, lo que permite 932 000 millones de interacciones al año.El 4 de agosto de 2022 se realizó un ataque de ingeniería social contra varios empleados de Twilio. El propósito de este ataque de SMS phishing fue el de engañar a los empleados de la compañía, haciéndolos entregar sus credenciales. Posteriormente las credenciales se usaron para obtener acceso a información privada de los clientes de la compañía.


El ataque consistió en que se enviaron mensajes de texto a empleados de Twilio, haciéndose pasar por el departamento de IT de la compañía, y pidiéndoles iniciar sesión, a través de un enlace malicioso. El enlace conducía a los empleados a una página que pretendía ser de la compañía, en la que se les pedía ingresar sus credenciales para poder hacer un cambio de contraseña o cambio de horario. Después de que los empleados enviaran sus credenciales, los atacantes las robaban para obtener datos confidenciales de clientes de Twilio. La campaña fue a través de enlaces que incluían palabras clave como lo son «Twilio», «Okta» y «SSO», por lo que fue fácil engañar a los empleados.



Smishing Twilio Incident Diagram. https://www.simplilearn.com/tutorials/cryptography-tutorial/what-is-phishing-attack


Inicialmente se identificaron 163 clientes de Twilio a los que se accedió a sus datos, y 93 usuarios de Authy (Twilio compró Authy en 2015, y la plataforma de Twilio permite el uso de varios elementos de Authy). Finalmente se reportó que los atacantes lograron acceder a datos de 209 clientes de Twilio. Entre los clientes de Twilio afectados se especula que esta la aplicación Signal, ya que este notificó a sus empleados del robo de información y a 1900 usuarios de la posible revelación de su número de teléfono. También la aplicación de entrega de comida DoorDash anunció que se acceso a la información de un pequeño porcentaje de sus clientes. Esta información incluye su nombre, correo, dirección, número de teléfono y parcialmente su información de pago. Twilio reporta que no hay evidencia de que los hackers accesaran la consola de las credenciales de clientes de Twilio, los tokens de autenticación o las llaves de API y que no se registra mas actividad sospechosa desde el 10 de agosto.


El ataque a Twilio es parte de una gran campaña llevada a cabo por el hacker 0ktapus. Este hacker atacó a más de 130 organizaciones, la mayoría dedicadas a IT, desarrollo de software y cloud services, incluyendo a MailChimp y Cloudflare. Su manera de operar consistió tal y como en el caso de Twilio en identificar el número de teléfono de empleados, para posteriormente realizar el ataque de «smishing» por medio de textos o llamadas telefónicas, conduciendo a los empleados a ingresar al enlace de las páginas falsas para obtener sus credenciales, y finalmente utilizarlas para obtener datos de sus clientes. Los expertos señalan que se utilizaron métodos sencillos y aun así se comprometió un gran número de cuentas, por lo que se supone que el ataque fue planeado cuidadosamente con mucha antelación.



Phishing, vishing and smishing: what are they and how can you protect yourself? https://www.bbva.com/en/phishing-vishing-and-smishing-what-are-they-and-how-can-you-protect-yourself/


Esta fue la segunda vez que Twilio recibió un ataque por parte de este actor, el primero fue el 29 de junio de 2022. El ataque de junio a diferencia del de agosto fue por medio de una llamada telefónica «vishing» en la que un empleado entregó sus credenciales con las que el hacker logro acceder a datos de un número limitado de clientes. Se logro remover el acceso del atacante en tan solo 12 horas. Al igual que con la campaña reciente, se notificó a los clientes, en este caso el 2 de Julio.


Twilio como medida del reciente ataque, condujo junto a una importante firma forense una investigación del incidente, y se quitó el acceso a cuentas comprometidas a los empleados. Se notificó a los empleados de las tácticas de estos atacantes y se les pidió realizar una capacitación en seguridad de los ataques de ingeniería social. Se les notificó a todos los clientes afectados de la situación y se eliminaron los dispositivos no autorizados. Se solicitó el quitar todos los dominios falsos personificando Twilio. Se fortificó el inicio de sesión de los empleados y el control en el vpn de la compañía. También se limitaron los derechos de administrador a varias herramientas.


Día a día el numero de ataques en campañas de phishing solo incrementa, por lo que es importante como empresa dar una buena capacitación a empleados, fortalecer medidas de seguridad para el acceso de cualquier información sensible y realizar regularmente auditorias. El robo de datos impacta la reputación de la empresa y la confianza de sus clientes.


Autor

Elisa Sosa

Ingeniero Junior de Seguridad


Referencias

  • Wallis, J. (2022, May 9). What is twilio? A comprehensive guide to understanding twilio in 2022. WEBO Digital. Retrieved December 7, 2022, from https://webo.digital/blog/what-is-twilio-a-complete-guide-to-twillio/

  • List of companies using Twilio, market share & customers list. InfoClutch. (2022, June 27). Retrieved December 7, 2022, from https://www.infoclutch.com/installed-base/unified-communications/twilio/#:~:text=Some%20of%20the%20top%20companies,Reddit%2C%20Airbnb%2C%20and%20Uber.

  • Newman, L. H. (2022, August 26). Why the twilio breach cuts so deep. Wired. Retrieved December 7, 2022, from https://www.wired.com/story/twilio-breach-phishing-supply-chain-attacks/

  • Paganini, P. (2022, October 30). Twilio discloses another security incident that took place in June. Security Affairs. Retrieved December 7, 2022, from https://securityaffairs.co/wordpress/137782/data-breach/twilio-new-data-breach.html

  • Security. (2022, October 27). Incident report: Employee and customer account compromise - August 4, 2022. Twilio Blog. Retrieved December 7, 2022, from https://www.twilio.com/blog/august-2022-social-engineering-attack

  • Jena, B. K. (2022). Phishing attack diagram. What is Phishing Attack? Definition, Types and How to Prevent it. Retrieved December 7, 2022, from https://www.simplilearn.com/tutorials/cryptography-tutorial/what-is-phishing-attack.

  • Ilevičius, P. (2019). Smishing explained. Retrieved December 7, 2022, from nordvpn.com.

  • Castillo, C. (2019). Phishing, vishing and smishing. Phishing, vishing and smishing: what are they and how can you protect yourself? Retrieved December 7, 2022, from https://www.bbva.com/en/phishing-vishing-and-smishing-what-are-they-and-how-can-you-protect-yourself/.

42 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Zero Trust Cybersecurity

Introducción En el mundo digital actual, donde las amenazas en línea son una gran preocupación, los métodos de seguridad tradicionales no siempre son suficientes. Ahí es donde entra en juego la cibers

Comments


bottom of page