Retool ضحية التصيد الاحتيالي عبر رسائل SMS

مقدمة

عدنا اليكم بأحدث اخبار الأمن السيبرانى ، أعلنت شركة Retool التي يقع مقرها في سان فرانسيسكو وهي شركة متخصصة بتطوير البرمجيات  عن حدوث هجوم  بتاريخ "27 اغسطس، 2023 " عن طريق  الهندسة الاجتماعية (social engineering)  والتصيد الاحتيالى (Phishing Attack ) موجه عبر الرسائل القصيرة (SMS) مما أدى الى اختراق حسابات 27 من عملائها  ، مما أدى إلى خسائر تقدر قيمتها بملايين الدولارات من العملة المشفرة. 

Retool تلقى اللوم على Google

صرحت شركة Retool أن خاصية المزامنة (synchronization feature)  التي اضافتها Google في أبريل ،2023 كانت سببا في زيادة الأمر سوءا.

تفاصيل حدوث هذا الهجوم

حيث صرح سنير كوديش، أحد المسئولين فى Retool حقيقة أن  المزامنة السحابية في Google Authenticator يُعد اتجاه جديد للهجوم ،  فقد استخدمت Retool في البداية نظامها للمصادقة متعددة العوامل (MFA)، ولكن التحديث الأخير من Google في أبريل 2023 مكّن المزامنة السحابية بصمت، مما أدى إلى إضعاف عنصر الأمان.

حدث الاختراق في 27 أغسطس 2023، تزامن الاختراق مع قيام Retool بإجراءات تسجيل الدخول مع Okta ( وهي طريقة مصادقة تمكن الـ end users  من تسجيل الدخول إلى أكثر من تطبيق  باستخدام مجموعة واحدة من بيانات تسجيل الدخول (Credentials) ).

تم الهجوم عن طريق تصيد احتيالى للموظفين  عبر الرسائل النصية القصيرة (SMS) حيث بدأ الأمر بخداع الموظفين  برسائل قصيرة  تستهدفهم بطلب النقر على رابط يبدو أنه شرعي لمعالجة مشكلة تتعلق بالرواتب.

كان هذا محتوى الرسالة حسب ما صرحت به Retool

وقع أحد الموظفين في الحيلة ، مما أدى إلى نقله إلى صفحة  مزيفة خدعته في ادخال  بيانات الخاصة بحسابه الشخصى (credentials). في المرحلة التالية من الهجوم  حيث تظاهر المتسلل كعضو في فريق تكنولوجيا المعلومات الخاص ب Retool وخدع أحد الموظفين بعدالحصول على ال(credentials) الخاصة به وباستخدام أحد  التقنيات اللتى تقوم بتغير الصوت قام المتسلل أيضًا بمحاكة صوت أحد أعضاء فريق تكنولوجيا المعلومات ليتمكن من خداع الموظف لمشاركة رمز OTP معه. تمكن هذ المتسلسل من استخدام هذا ال OTP فى  ربط  جهازًا جديدًا بحساب Okta الخاص بالموظف وتمكن من الوصول إلى   Google Workspace session الخاصة بالشركة.

مما زاد الامر سوءا قيام الموظف  بتنشيط خاصية  المزامنة السحابية في Google Authenticator سمحت لمنفذى  الهجوم بالحصول على privilege (مستوى access ) أعلى إلى أنظمة الإدارة الداخلية الخاصة به والتمكن من اختراق  الحسابات التي تخص 27 عميلًا يعملون فى مجال العملة المشفرة. ثم قام المهاجمون في النهاية بتغير كل من الايميلات  و كلمات الخاصة  بحاسابات العملاء . 

تصريح ضحايا هذا الهجوم وتاثيره

أفادت CoinDesk أن Fortress Trust أحد المستخدمين المتأثرين شهدت سرقة ما يقرب من 15 مليون دولار من العملات المشفرة نتيجة لذلك الهجوم .

وأشار كوديش إلى أنو الوصول إلى حساب Okta مكنت منفذى الهجوم من  السيطرة على حساب Google، مما أدى إلى السيطرة على جميع OTPs المخزنة في Google Authenticator.

 من المتهم لهذا الهجوم

على الرغم من أنه لم يتم الكشف عن هوية منفذى الهجوم حتى هذه اللحظة ، إلا أن طريقة التى تم لها الهجوم تتشابه مع طريقة عمل مجموعة من منفذى هجوم ذو دوافع مالية يعرف باسم Scattered Spider (المعروف أيضًا باسم UNC3944)، والمعروف بتكتيكات التصيد الاحتيالي المتطورة والمستمرة .

الخاتمة

وفى النهاية نؤكد  على أهمية التدريب المستمر لجميع موظفى المؤسسات على الوعى بالأمن السيبرانى ومواصلة أخذ الاجراءات  الأمنية اللازمة لضمان الحماية من هجمات التصيد الاحتيالي.

المصادر

• مانشره موقع The Hacker News عن هذا الهجوم
• اقرأ مانشرته Retool عن الهجوم
• ما نشره موقع Help Net Security عن الهجوم