Saya seorang reporter keamanan dan tertipu oleh phish yang terang-terangan

Memperbesar / Ini jelas bukan mouse Razer — tetapi Anda mendapatkan idenya.

Baru-baru ini ada serangkaian serangan phishing yang sangat tepat dan dijalankan dengan baik sehingga mereka berhasil menipu beberapa orang paling sadar yang bekerja di industri keamanan siber. Pada hari Senin, Selasa, dan Rabu, penyedia otentikasi dua faktor Twilio, jaringan pengiriman konten Cloudflare, dan pembuat peralatan jaringan Cisco mengatakan phisher yang memiliki nomor telepon milik karyawan dan anggota keluarga karyawan telah menipu karyawan mereka untuk mengungkapkan kredensial mereka. Para phisher memperoleh akses ke sistem internal Twilio dan Cisco. Kunci 2FA berbasis perangkat keras Cloudflare mencegah phisher mengakses sistemnya.

Para phisher gigih, metodis dan jelas telah melakukan pekerjaan rumah mereka. Dalam satu menit, setidaknya 76 karyawan Cloudflare menerima pesan teks yang menggunakan berbagai tipu muslihat untuk mengelabui mereka agar masuk ke apa yang mereka yakini sebagai akun kerja mereka. Situs web phishing menggunakan domain (cloudflare-okta.com) yang telah didaftarkan 40 menit sebelum kebingungan pesan, menggagalkan sistem yang digunakan Cloudflare untuk diperingatkan ketika domain yang menggunakan namanya dibuat (mungkin karena butuh waktu untuk entri baru untuk mendiami). Phisher juga memiliki sarana untuk mengalahkan bentuk 2FA yang mengandalkan kata sandi satu kali yang dihasilkan oleh aplikasi autentikator atau dikirim melalui pesan teks.

Menciptakan rasa urgensi

Seperti Cloudflare, baik Twilio dan Cisco menerima pesan teks atau panggilan telepon yang juga dikirim dengan alasan bahwa ada keadaan mendesak—perubahan mendadak dalam jadwal, kata sandi kedaluwarsa, atau panggilan dengan kedok organisasi tepercaya—yang mengharuskan target mengambil tindakan dengan cepat.

Pada hari Rabu, giliran saya. Pada pukul 15:54 PT, saya menerima email yang mengaku dari Twitter, menginformasikan bahwa akun Twitter saya baru saja diverifikasi. Saya langsung curiga karena saya tidak mengajukan verifikasi dan tidak mau. Tetapi header menunjukkan bahwa email tersebut berasal dari twitter.com, tautan (yang saya buka di Tor pada mesin yang aman) mengarah ke situs Twitter.com yang sebenarnya, dan tidak ada di email atau halaman tertaut yang meminta saya untuk memberikan informasi apa pun. Saya juga memperhatikan bahwa tanda centang tiba-tiba muncul di halaman profil saya.

Puas bahwa email itu asli, saya mencatat keterkejutan saya di Twitter pada pukul 3:55.

Beberapa detik kemudian, pada pukul 3:56, saya menerima pesan langsung yang mengaku berasal dari departemen verifikasi Twitter. Dikatakan bahwa agar verifikasi saya menjadi permanen, saya perlu menanggapi pesan tersebut dengan SIM, paspor, atau tanda pengenal lain yang dikeluarkan pemerintah.

Saya memiliki perasaan yang kuat tentang ketidaktepatan Twitter—perusahaan yang telah diretas setidaknya tiga kali dan mengaku menyalahgunakan nomor telepon pengguna—meminta data semacam ini. Saya marah. Saat itu mendekati akhir hari kerja saya. Saya masih terkejut dengan pemberian tak terduga dan tidak dipalsukan oleh Twitter dari tanda centang yang tidak saya minta. Jadi tanpa membaca DM secara menyeluruh, saya men-tweet screenshot-nya, bersama dengan komentar sinis tentang Twitter yang tidak dapat dipercaya.

Masalahnya, DM menggunakan bahasa Inggris yang rusak; pegangan pengguna bernama Dukungan, diikuti oleh sekelompok angka; akun itu terkunci. DM adalah contoh buku teks tentang phish, dengan semua ciri penipuan. Jadi mengapa kesan pertama saya bahwa pesan ini asli? Ada beberapa alasan.

Leave a Comment