Cloudflare Jadi Korban Serangan Smishing Seperti Twilio
illustrasi
Cyberthreat.id – Cloudflare mengungkapkan bahwa pihaknya juga mengalami serangan smishing seperti yang di alami oleh Twilio.
Dikutip dari Bleeping computer, meski penyerang berhasil mencuri kredensial beberapa karyawan Cloudflare, tetapi para penyerang mereka gagal menembus sistemnya. Upaya mereka untuk masuk menggunakan akun tersebut diblokir karena mereka tidak memiliki akses ke kunci keamanan yang sesuai dengan FIDO2 yang dikeluarkan Cloudflare untuk para karyawannya.
“Sekitar waktu yang sama ketika Twilio diserang, kami melihat serangan dengan karakteristik yang sangat mirip juga menargetkan karyawan Cloudflare, penyerang berusaha masuk ke sistem kami tetapi mereka gagal” kata Cloudflare.
Seperti yang juga diungkapkan Cloudflare, setelah memasukkan kredensial mereka di halaman phishing, perangkat lunak akses jarak jauh AnyDesk secara otomatis diunduh di komputer mereka untuk memungkinkan pelaku ancaman mengendalikan komputer mereka dari jarak jauh jika diinstal.
Pesan phishing yang dikirim ke 76 karyawan dan keluarga mereka dari nomor telepon T-Mobile mengarahkan target ke klon halaman login Cloudflare Okta yang dihosting di domain cloudflare-okta[.]com. Domain ini didaftarkan melalui pendaftar domain Porkbun, juga digunakan untuk mendaftarkan domain web yang digunakan untuk meng-host halaman arahan yang terlihat dalam serangan Twilio.
Perusahaan pun mengambil beberapa tindakan dalam menanggapi serangan ini. Seperti memblokir domain phishing menggunakan Cloudflare Gateway, mengidentifikasi semua karyawan Cloudflare yang terkena dampak dan menyetel ulang kredensial yang disusupi, mengidentifikasi dan menghapus infrastruktur pelaku ancaman.
Mereka juga memperbaharui deteksi untuk mengidentifikasi upaya serangan berikutnya. Serta mengaudit log akses layanan untuk indikasi serangan tambahan.
Seperti yang diketahui, perusahaan komunikasi cloud Twilio, pemilik penyedia otentikasi dua faktor (2FA) yang sangat populer, Authy, mengungkapkan jika pihaknya mengalami serangan smishing yang menargetkan para karyawannya.
Tidak seperti Cloudflare, perusahaan mengatakan penyerang dapat mengakses beberapa data pelanggannya setelah melanggar sistem internal menggunakan kredensial karyawan yang dicuri dalam serangan SMS phishing.
Twilio juga mengungkapkan bahwa pihaknya mengoordinasikan upaya respons insidennya dengan perusahaan lain yang menjadi sasaran serangan serupa pada waktu yang bersamaan.
“Kami telah mendengar dari perusahaan lain bahwa mereka juga menjadi sasaran serangan serupa, dan telah mengoordinasikan tanggapan kami terhadap pelaku ancaman - termasuk berkolaborasi dengan operator untuk menghentikan pesan jahat, serta pendaftar dan penyedia hosting mereka untuk menutup URL berbahaya,” kata Twilio.
