Blogger và nhà báo tiền điện tử người Trung Quốc Colin Wu đã chia sẻ chi tiết về vụ hack gần đây của công ty quản lý tiền điện tử Fortress Trust, công ty này mới được tập đoàn blockchain lớn Ripple mua lại.
Theo Wu, lỗ hổng mà các hacker tấn công ở đây liên quan đến hệ thống bảo mật bổ sung được cung cấp bởi một ứng dụng xác thực chính.
27 tài khoản trên Fortress Trust đã bị xâm nhậpTheo Retool, các tội phạm mạng đã thành công trong việc xâm nhập tới 27 tài khoản của công ty bảo quản tiền điện tử Fortress Trust. Hacker đã tận dụng thành công lỗ hổng này sau một cuộc tấn công kỹ thuật xã hội qua tin nhắn SMS đã nhắm mục tiêu.
Theo Fortress Trust, các hacker đã sử dụng tính năng đồng bộ hóa dữ liệu của tài khoản Google được giới thiệu vào mùa xuân này. Công ty có trụ sở tại San Francisco mua lại công ty này cho biết tính năng được đề cập ở trên làm trở nên tệ hơn và gọi nó là một "mẫu hình tối".
*Mẫu hình tối: Đề cập đến các nhà phát triển phần mềm giao diện web hoặc ứng dụng sử dụng thiết kế giao diện và thủ thuật sử dụng tác động và niềm tin để lừa dối người khác vào việc lấy thông tin hoặc thuyết phục nạn nhân thực hiện điều gì đó, hoặc một kỹ thuật khác để thúc đẩy người dùng thực hiện những việc họ không thể làm nếu không có ảnh hưởng.
Retool gọi loại đồng bộ hóa này là "một vectơ tấn công mới," theo Giám đốc Kỹ thuật của công ty, Snir Kodesh. Cuộc tấn công diễn ra vào ngày 27 tháng 8 cùng thời điểm mà Fortress Trust đang chuyển các thông tin xác thực của họ sang Okta.
Điều gì đã xảy ra?Các hacker đã giả mạo một trong các thành viên của nhóm Công nghệ thông tin của Fortress Trust khi họ khởi đầu cuộc tấn công lừa đảo qua tin nhắn SMS. Họ đã chỉ dẫn người nhận theo một liên kết có vẻ hợp lệ để giúp họ giải quyết vấn đề liên quan đến lương của họ. Một nhân viên thực sự đã bị lừa và truy cập vào một trang đích giả mạo, nơi sau đó họ đã chia sẻ thông tin đăng nhập của mình.
Những gì xảy ra tiếp theo là kẻ xấu đã gọi điện thoại cho nhân viên này, giả vờ là một thành viên của nhóm Công nghệ thông tin (với sự giúp đỡ của hình ảnh đại diện giả mạo thay đổi giọng điệu của họ), và yêu cầu nhân viên truyền cho họ một mã xác thực đa yếu tố (MFA).
Mã này cho phép hacker thêm các phần mở rộng của riêng họ vào tài khoản Okta của nạn nhân, và sau đó kẻ thực hiện có thể tạo ra mã xác thực đa yếu tố của riêng họ để truy cập vào tài khoản.
Cuối cùng, sau khi kiểm soát được nhân viên này, hacker đã có thể truy cập sâu hơn vào tất cả 27 tài khoản được đề cập ở trên. Hacker đã thay đổi địa chỉ email của các tài khoản đó cùng với mật khẩu. Kết quả là có khoảng 15 triệu đô la tiền điện tử đã bị đánh cắp.
Cách thực hiện cuộc tấn công này cho thấy các phương pháp tương tự như hacker Scattered Spider (còn được gọi là UNC3944), người được cho là một chuyên gia tấn công lừa đảo cấp cao.
Nguồn:
Theo Wu, lỗ hổng mà các hacker tấn công ở đây liên quan đến hệ thống bảo mật bổ sung được cung cấp bởi một ứng dụng xác thực chính.
27 tài khoản trên Fortress Trust đã bị xâm nhậpTheo Retool, các tội phạm mạng đã thành công trong việc xâm nhập tới 27 tài khoản của công ty bảo quản tiền điện tử Fortress Trust. Hacker đã tận dụng thành công lỗ hổng này sau một cuộc tấn công kỹ thuật xã hội qua tin nhắn SMS đã nhắm mục tiêu.
Theo Fortress Trust, các hacker đã sử dụng tính năng đồng bộ hóa dữ liệu của tài khoản Google được giới thiệu vào mùa xuân này. Công ty có trụ sở tại San Francisco mua lại công ty này cho biết tính năng được đề cập ở trên làm trở nên tệ hơn và gọi nó là một "mẫu hình tối".
*Mẫu hình tối: Đề cập đến các nhà phát triển phần mềm giao diện web hoặc ứng dụng sử dụng thiết kế giao diện và thủ thuật sử dụng tác động và niềm tin để lừa dối người khác vào việc lấy thông tin hoặc thuyết phục nạn nhân thực hiện điều gì đó, hoặc một kỹ thuật khác để thúc đẩy người dùng thực hiện những việc họ không thể làm nếu không có ảnh hưởng.
Retool gọi loại đồng bộ hóa này là "một vectơ tấn công mới," theo Giám đốc Kỹ thuật của công ty, Snir Kodesh. Cuộc tấn công diễn ra vào ngày 27 tháng 8 cùng thời điểm mà Fortress Trust đang chuyển các thông tin xác thực của họ sang Okta.
Điều gì đã xảy ra?Các hacker đã giả mạo một trong các thành viên của nhóm Công nghệ thông tin của Fortress Trust khi họ khởi đầu cuộc tấn công lừa đảo qua tin nhắn SMS. Họ đã chỉ dẫn người nhận theo một liên kết có vẻ hợp lệ để giúp họ giải quyết vấn đề liên quan đến lương của họ. Một nhân viên thực sự đã bị lừa và truy cập vào một trang đích giả mạo, nơi sau đó họ đã chia sẻ thông tin đăng nhập của mình.
Những gì xảy ra tiếp theo là kẻ xấu đã gọi điện thoại cho nhân viên này, giả vờ là một thành viên của nhóm Công nghệ thông tin (với sự giúp đỡ của hình ảnh đại diện giả mạo thay đổi giọng điệu của họ), và yêu cầu nhân viên truyền cho họ một mã xác thực đa yếu tố (MFA).
Mã này cho phép hacker thêm các phần mở rộng của riêng họ vào tài khoản Okta của nạn nhân, và sau đó kẻ thực hiện có thể tạo ra mã xác thực đa yếu tố của riêng họ để truy cập vào tài khoản.
Cuối cùng, sau khi kiểm soát được nhân viên này, hacker đã có thể truy cập sâu hơn vào tất cả 27 tài khoản được đề cập ở trên. Hacker đã thay đổi địa chỉ email của các tài khoản đó cùng với mật khẩu. Kết quả là có khoảng 15 triệu đô la tiền điện tử đã bị đánh cắp.
Cách thực hiện cuộc tấn công này cho thấy các phương pháp tương tự như hacker Scattered Spider (còn được gọi là UNC3944), người được cho là một chuyên gia tấn công lừa đảo cấp cao.
Nguồn:
Revealing the identity of the hacker who compromised 27 accounts from the newly acquired Fortress Trust by Ripple - TRADECOIN D2 (BETA)
Chinese cryptocurrency blogger and journalist Colin Wu has shared details about the recent hack of cryptocurrency management company Fortress Trust, which was
tradecoind2.com