Я репортер по вопросам безопасности, и меня одурачил откровенный фишинг

Недавно произошел шквал фишинговых атак, настолько хирургически точных и хорошо выполненных, что им удалось обмануть некоторых из самых осведомленных людей, работающих в индустрии кибербезопасности. В понедельник, вторник и среду поставщик двухфакторной аутентификации Twilio, сеть доставки контента Cloudflare и производитель сетевого оборудования Cisco заявили, что фишеры, владеющие телефонными номерами, принадлежащими сотрудникам и членам их семей, обманным путем заставили их сотрудников раскрыть свои учетные данные. Фишеры получили доступ к внутренним системам Twilio и Cisco. Аппаратные ключи двухфакторной аутентификации Cloudflare не позволили фишерам получить доступ к ее системам.

Фишеры были настойчивы, методичны и явно выполнили свою домашнюю работу. За одну минуту не менее 76 сотрудников Cloudflare получили текстовые сообщения, в которых использовались различные уловки, чтобы заставить их войти в то, что они считали своей рабочей учетной записью. Фишинговый веб-сайт использовал домен (cloudflare-okta.com), который был зарегистрирован за 40 минут до шквала сообщений, что мешало системе, которую Cloudflare использует для оповещения при создании доменов, использующих его имя (предположительно, потому, что для новых записей требуется время). заселить). У фишеров также были средства для обхода форм 2FA, которые полагаются на одноразовые пароли, сгенерированные приложениями-аутентификаторами или отправленные через текстовые сообщения.

Создание чувства срочности

Как и Cloudflare, и Twilio, и Cisco получали текстовые сообщения или телефонные звонки, которые также были отправлены в связи с неотложными обстоятельствами — внезапным изменением расписания, истечением срока действия пароля или звонком под видом доверенной организации — что требовало этого. цель действует быстро.

В среду была моя очередь. В 15:54 по тихоокеанскому времени я получил электронное письмо якобы из Твиттера, в котором сообщалось, что мой аккаунт в Твиттере только что был подтвержден. У меня сразу возникли подозрения, потому что я не обращался за верификацией и не очень хотел. Но заголовки показали, что электронное письмо пришло с twitter.com, ссылка (которую я открыл в Tor на защищенной машине) вела на настоящий сайт Twitter.com, и ни в электронном письме, ни на связанной странице меня не просили предоставить какую-либо информацию. Я также заметил, что на странице моего профиля внезапно появилась галочка.

Убедившись, что электронное письмо было подлинным, я отметил свое удивление в Твиттере в 3:55.

Через несколько секунд, в 3:56, я получил прямое сообщение якобы от отдела проверки Twitter. В нем говорилось, что для того, чтобы моя проверка стала постоянной, мне нужно было ответить на сообщение либо моими водительскими правами, либо паспортом, либо другим удостоверением личности государственного образца.

У меня сильные чувства по поводу неуместности Twitter — компании, которая подвергалась взлому как минимум трижды и призналась в неправомерном использовании телефонных номеров пользователей — запрашивать такие данные. Я был безумен. Это было ближе к концу моего рабочего дня. Я все еще был удивлен неожиданным и неподдельным подарком Твиттера с галочкой, которую я не просил. Поэтому, не прочитав DM внимательно, я написал его скриншот вместе с циничным комментарием о том, что Twitter не заслуживает доверия.

Дело в том, что Мастер использовал ломаный английский; дескриптор пользователя назывался Support, за которым следовала куча цифр; аккаунт был заблокирован. DM — это хрестоматийный пример фишинга со всеми признаками мошенничества. Так почему же у меня сложилось первое впечатление, что это сообщение было подлинным? Есть несколько причин.