Saat MFA Bukan Benar-Benar MFA - Bagaimana Retool Menjadi Korban Serangan Phishing

 (retool.com)
5 poin oleh GN⁺ 2023-09-14 | 2 komentar | Bagikan ke WhatsApp
  • Pada 29 Agustus 2023, Retool melaporkan bahwa 27 akun pelanggan cloud mengalami akses tanpa izin akibat serangan spear phishing
  • Serangan ini dimulai melalui phishing berbasis SMS, dan para karyawan menerima pesan teks yang menyamar seolah-olah dikirim oleh departemen TI mengenai masalah akun
  • Seorang karyawan masuk melalui tautan yang diberikan dalam pesan teks tersebut, yang mengarah ke portal palsu berisi formulir autentikasi multi-faktor (MFA)
  • Penyerang kemudian menelepon karyawan tersebut sambil menyamar sebagai anggota tim TI untuk memperoleh kode MFA tambahan, yang memungkinkan mereka menambahkan perangkat pribadi ke akun Okta milik karyawan
  • Setelah itu, penyerang dapat membuat MFA Okta mereka sendiri, sehingga mengaktifkan sesi GSuite dari perangkat penyerang
  • Penyerang lalu memperoleh akses ke semua token MFA di dalam akun Google yang telah dikompromikan, yang kemudian memungkinkan akses ke sistem internal Retool dan pengambilalihan akun tertentu milik pelanggan
  • Retool merespons dengan membatalkan semua sesi autentikasi internal, membatasi akses ke akun yang terdampak, memberi tahu pelanggan yang terkena dampak, dan memulihkan akun mereka ke kondisi semula
  • Pelanggan on-premise Retool tidak terdampak karena mereka beroperasi dalam lingkungan "zero trust" dan sepenuhnya terisolasi
  • Insiden ini menyoroti kelemahan MFA terhadap OTP berbasis perangkat lunak serta risiko yang terkait dengan fitur sinkronisasi cloud di Google Authenticator
  • Retool menyarankan agar Google menghapus dark pattern di Google Authenticator (yang mendorong pengguna menyalakan sinkronisasi cloud), atau menyediakan fitur agar organisasi dapat menonaktifkannya
  • Perusahaan menekankan pentingnya kesadaran terhadap social engineering dan perlunya sistem yang dapat mencegah kesalahan manusia agar tidak memengaruhi seluruh sistem
  • Retool menyatakan bahwa mereka telah menerapkan workflow human-in-the-loop secara internal dan berencana menghadirkannya juga ke produk untuk pelanggan
  • Perusahaan mendorong pelanggan untuk memahami threat model mereka sendiri dan mengintegrasikan perlindungan tambahan, seperti flow eskalasi yang memerlukan persetujuan beberapa karyawan sebelum menjalankan tindakan tertentu

Bacaan terkait

2 komentar

 
kunggom 2023-09-15

Kalau sesuai penjelasan, sepertinya ada seseorang yang cukup paham situasi internal perusahaan sampai melakukan spear phishing. Mereka sampai mengetahui proses internal perusahaan, bahkan menelepon dengan suara karyawan sungguhan yang disintesis lewat deepfake. Lalu menonaktifkan OTP melalui fitur sinkronisasi cloud Google Authenticator—cukup mengerikan…
 
GN⁺ 2023-09-14
Opini Hacker News
  • Artikel ini membahas serangan phishing canggih yang menyalahgunakan autentikasi multifaktor (MFA) dan menggunakan teknologi deepfake.
  • Para komentator menyarankan bahwa kode MFA berbasis cloud rentan, dan merekomendasikan MFA berbasis SMS sebagai alternatif yang lebih aman.
  • Pentingnya edukasi keamanan ditekankan, dengan saran agar menghubungi peminta melalui saluran tepercaya yang sudah dikenal untuk memverifikasi permintaan informasi yang tidak terduga.
  • Muncul keraguan tentang penggunaan teknologi deepfake dalam serangan tersebut, karena banyaknya informasi internal yang dibutuhkan.
  • Perusahaan dikritik karena tidak menggunakan 2FA perangkat keras, yang dianggap lebih aman dan lebih murah.
  • Muncul pertanyaan tentang anjuran Google untuk menyinkronkan kode ke cloud, dengan usulan menggunakan backup terenkripsi dan FIDO2 untuk meningkatkan keamanan.
  • OTP (kata sandi sekali pakai) dianggap sudah ketinggalan zaman, dan autentikator tahan phishing seperti U2F, WebAuthn, dan Passkeys direkomendasikan sebagai penggantinya.
  • Disebutkan kecanggihan serangan yang melakukan deepfake terhadap suara karyawan dan mengetahui proses internal perusahaan.
  • Kritik diarahkan pada sikap keamanan perusahaan, dengan usulan bahwa langkah-langkah keamanan dasar harus diperbaiki.
  • Pengungkapan detail serangan dipuji karena mudah dipahami dan dapat membantu komunitas meningkatkan langkah-langkah keamanan.
  • Muncul pertanyaan tentang bagaimana penyerang memperoleh cukup rekaman suara karyawan untuk membuat deepfake, yang mengisyaratkan kemungkinan keterlibatan orang dalam.
  • Insiden ini memunculkan kekhawatiran tentang perekaman percakapan dan kemungkinan bocornya proses internal.