Retool gibt an, dass Social Engineering, ein AI-Deepfake und eine Schwachstelle in Googles Authenticator-App dem Hacker geholfen haben, das Unternehmen letzten Monat zu hacken.
Ein Hacker nutzte KI, um die Stimme eines Mitarbeiters zu imitieren und in ein IT-Unternehmen einzudringen.
Der Vorfall, bei dem 27 Cloud-Kunden betroffen waren, ereignete sich letzten Monat bei Retool, einem Unternehmen, das Kunden beim Aufbau von Geschäftssoftware unterstützt.
Der Hacker startete den Einbruch, indem er mehreren Mitarbeitern von Retool SMS-Nachrichten schickte, die angeblich von einem Mitglied des IT-Teams von Retool stammten und die Lösung eines Gehaltsproblems anboten, das die Mitarbeiter daran hinderte, eine Krankenversicherung zu erhalten. Die meisten Retool-Mitarbeiter, die die Phishing-Nachricht erhielten, reagierten nicht darauf, mit Ausnahme eines Mitarbeiters.
Der ahnungslose Mitarbeiter klickte auf eine URL in der Nachricht, die ihn zu einem gefälschten Internetportal weiterleitete, um sich anzumelden. Nachdem er sich im Portal angemeldet hatte, das ein Formular für die Mehrfaktorauthentifizierung (MFA) enthielt, rief der Hacker den Mitarbeiter an und verwendete dabei ein KI-gesteuertes Deepfake.
„Der Anrufer gab vor, eines der Mitglieder des IT-Teams zu sein und imitierte die tatsächliche Stimme unseres Mitarbeiters“, sagte Retool in dem Bericht. „Die Stimme kannte den Grundriss des Büros, die Kollegen und die internen Abläufe des Unternehmens. Während des Gesprächs wurde der Mitarbeiter immer misstrauischer, gab dem Angreifer jedoch leider einen weiteren Mehrfaktorauthentifizierungscode.“
Der Vorfall deutet darauf hin, dass der geheimnisvolle Angreifer Retool möglicherweise bereits in gewissem Maße infiltriert hatte, bevor er den Mitarbeiter anrief. Nachdem der Mehrfaktor-Code übergeben wurde, fügte der Angreifer sein eigenes Gerät zum Konto des Mitarbeiters hinzu und konzentrierte sich darauf, auf dessen GSuite-Konto zuzugreifen.
Retool gibt an, dass der Zugriff auf GSuite besonders verheerend war, da die Authenticator-App von Google kürzlich eine Cloud-Synchronisierungsfunktion eingeführt hat. Das bedeutet, dass Ihre MFA-Codes auf mehr als einem Gerät, wie einem Smartphone und einem Tablet, das mit dem Konto synchronisiert ist, angezeigt werden können.
Google fügte die Cloud-Synchronisierung hinzu, damit die Menschen MFA-Codes abrufen können, falls ihr Telefon verloren geht oder gestohlen wird. Aber Retool weist auf einen großen Nachteil dieses Ansatzes hin: „Wenn Ihr Google-Konto kompromittiert wird, sind es jetzt auch Ihre MFA-Codes.“
„Die Tatsache, dass der Zugriff auf ein Google-Konto sofortigen Zugriff auf alle in diesem Konto gespeicherten MFA-Token gewährte, ist der Hauptgrund, warum der Angreifer in unsere internen Systeme gelangen konnte“, fügt das Unternehmen hinzu.
Obwohl Retool inzwischen den Zugriff des Hackers widerrufen hat, entschied sich das Unternehmen, den Vorfall öffentlich zu machen, um andere Unternehmen vor ähnlichen Angriffen zu warnen. „Social Engineering ist eine sehr reale und glaubwürdige Angriffsmethode, und jeder kann zum Ziel gemacht werden“, sagt das Unternehmen. „Wenn Ihr Unternehmen groß genug ist, wird es jemanden geben, der unwissentlich auf einen Link klickt und Opfer von Phishing wird.“
Das Unternehmen forderte Google auch auf, seine Authenticator-App zu ändern, um es Unternehmen zu erleichtern, die Cloud-Synchronisierungsfunktion für ihre Mitarbeiter zu deaktivieren. Google antwortete bisher nicht auf eine Anfrage nach einem Kommentar.
