GN⁺: MFA가 MFA가 아닐 때 - Retool이 피싱 공격을 당한 방법

 (retool.com)
5P by neo 8달전 | favorite | 댓글 2개
  • 2023년 8월 29일, Retool은 스피어 피싱 공격으로 인해 27개의 클라우드 고객 계정이 무단 접근당했다고 보고
  • 이 공격은 SMS 기반의 피싱 공격을 통해 시작되었으며, 직원들은 IT부서에서 계정 문제에 대해 보내온 것처럼 가장한 문자 메시지를 받았음
  • 한 명의 직원이 문자 메시지에 제공된 링크로 로그인하였고, 이는 다중 요소 인증(MFA) 양식이 포함된 가짜 포털로 보내짐
  • 공격자는 IT 팀원으로 가장하며 직원에게 전화를 걸어 추가적인 MFA 코드를 획득하였고, 이를 통해 직원의 Okta 계정에 개인 기기를 추가할 수 있었음
  • 공격자는 이후 자신의 Okta MFA를 생성할 수 있었으며, 이로 인해 공격자의 기기에서 GSuite 세션을 활성화
  • 공격자는 손상된 Google 계정 내의 모든 MFA 토큰에 접근하였고, 이로 인해 Retool의 내부 시스템에 접근하고 특정 고객 계정에 대한 인수 공격이 이루어짐
  • Retool은 모든 내부 인증 세션을 취소하고, 영향을 받은 계정에 대한 접근을 제한하며, 영향을 받은 고객에게 알리고, 그들의 계정을 원래 상태로 복구하는 방식으로 대응
  • Retool의 온프레미스 고객들은 "제로 트러스트" 환경에서 운영되며 완전히 독립적이므로 영향을 받지 않았음
  • 이 사건은 소프트웨어 기반 OTPs에 대한 MFA의 취약성과 Google Authenticator의 클라우드 동기화 기능과 관련된 위험성을 강조
  • Retool은 Google이 Google Authenticator의 어두운 패턴(클라우드 싱크를 키도록 하는 것)을 제거하거나, 조직이 이를 비활성화할 수 있는 기능을 제공하도록 해야한다고 제안
  • 회사는 소셜 엔지니어링에 대한 인식의 중요성과 전체 시스템에 영향을 미치는 인간의 오류를 방지하는 시스템의 필요성을 강조
  • Retool은 이미 내부적으로 인간-루프 워크플로우를 구현하였고, 이를 고객을 위한 제품에도 구현할 계획
  • 회사는 고객들이 자신의 위협 모델을 이해하고, 행동을 실행하거나 여러 직원의 승인이 필요한 에스컬레이션 플로우와 같은 추가적인 보호 조치를 통합하도록 권장
kunggom 8달전  [-]

설명된 대로라면 꽤나 회사 내부 사정에 밝은 누군가가 스피어피싱을 시도했나 보군요.
회사 내부 프로세스는 물론 심지어 실제 직원의 목소리를 딥페이크 합성해서 전화를 할 정도였다니 말입니다.
거기서 Google Authenticator의 클라우드 동기화 기능으로 OTP를 무력화하다니 흠좀무…

답변달기
neo 8달전  [-]
Hacker News 의견
  • 본 기사는 멀티 팩터 인증(MFA)을 악용하고 딥페이크 기술을 사용한 정교한 피싱 공격에 대해 논의합니다.
  • 댓글러들은 클라우드 기반 MFA 코드가 취약하다고 제안하며, SMS 기반 MFA를 더 안전한 대안으로 추천합니다.
  • 보안 교육의 중요성이 강조되며, 예상치 못한 정보 요청에 대해 확인하기 위해 요청자에게 알려진 신뢰할 수 있는 채널을 통해 연락하는 것이 좋다는 조언이 제시됩니다.
  • 공격에서 딥페이크 기술의 사용에 대한 의구심이 제기되며, 이는 내부 정보가 필요한 양 때문입니다.
  • 회사가 하드웨어 2FA를 사용하지 않은 것에 대한 비판이 제기되며, 이는 더 안전하고 저렴하다고 간주됩니다.
  • 구글이 클라우드에 코드를 동기화하도록 권장하는 것에 대한 의문이 제기되며, 보안을 향상시키기 위해 암호화된 백업과 FIDO2를 사용하는 것을 제안합니다.
  • OTPs(일회용 비밀번호)는 구식이라고 간주되며, U2F, WebAuthn, Passkeys와 같은 피싱 방지 인증기가 대체제로 추천됩니다.
  • 직원의 목소리를 딥페이크하고 내부 회사 프로세스를 알고 있는 공격의 정교함이 언급됩니다.
  • 회사의 보안 태도에 대한 비판이 제기되며, 기본 보안 조치가 수정되어야 한다는 제안이 있습니다.
  • 공격의 상세한 공개가 접근성이 좋고 커뮤니티가 보안 조치를 개선하는 데 도움이 될 수 있다고 칭찬받습니다.
  • 공격자들이 어떻게 직원의 목소리에 대한 충분한 녹음 내용을 얻어 딥페이크를 만들 수 있었는지에 대한 의문이 제기되며, 이는 내부자의 개입을 가능성을 시사합니다.
  • 이 사건은 대화의 녹음과 내부 프로세스의 유출 가능성에 대한 우려를 불러일으킵니다.
답변달기