Studiuesit e Group-IB zbuluan se sulmet e fundit të phishing kundër Twilio, Cloudflare dhe Signal ishin pjesë e një fushate masive që përfshin 9,931 llogari nga mbi 130 kompani. Fushatës iu dha emri Oktapus, pasi kriminelët kibernetikë shfrytëzuan reputacionin e Okta, një kompani kaliforniane që ofron shërbime aksesi dhe menaxhimit të identitetit.
Oktapus: fushatë e sofistikuar phishing
Ekspertët e Group-IB zbuluan se fushata Oktapus filloi në mars 2022. Qëllimi kryesor i kriminelëve kibernetikë ishte të merrnin kredencialet e Okta dhe kodet e vërtetimit me dy faktorë (2FA) nga punonjësit e kompanisë. Ky i fundit mori SMS me lidhje me faqet e phishing që imitonin faqen e identifikimit të Okta-s.
Nuk dihet se si kriminelët kibernetikë i kanë marrë numrat e telefonit (ndoshta përmes një sulmi ndaj operatorëve të telekomit). Fjalë kyçe specifike janë përdorur në emrat e domeneve për të mashtruar përdoruesit, si sso, vpn, okta, mfa dhe ndihmë. Kredencialet e hyrjes dhe 2 kodet FA u dërguan në një kanal privat Telegram. Fushata Oktapus bëri të mundur vjedhjen e 9,931 kredencialeve dhe 5,541 kodeve 2FA nga 136 organizata, shumica e të cilave ndodhen në Shtetet e Bashkuara (17 në Itali).
Aktualisht nuk dihet nëse kredencialet e hyrjes janë shfrytëzuar për të hyrë në sistemet e brendshme të kompanive dhe për të vjedhur të dhëna të ndjeshme ose për të instaluar malware. Group-IB rekomandon përdorimin e çelësave harduerikë për vërtetimin me shumë faktorë, siç është Yubikey.
Discussion about this post