Dropbox jako další oběť phishingu

Společnost Dropbox oznámila, že 14. října získali aktéři hrozeb vydávající se za CircleCI přístup k přihlašovacím údajům zaměstnanců Dropboxu a ukradli 130 kódových repozitářů z GitHubu. Na podezřelé chování upozornila Dropbox společnost GitHub.

Došlo ke kompromitaci některých pověření, konkrétně klíčů API používaných vývojáři Dropboxu, uvedla společnost. Kódy a další data obsahovaly také několik tisíc jmen a e-mailových adres patřících zaměstnancům Dropboxu a současným i minulým zákazníkům. Dropbox však zdůraznil, že „nebyl zpřístupněn žádný obsah, hesla ani platební údaje a problém byl rychle vyřešen“. Společnost také oznámila, že její hlavní aplikace a infrastruktura nebyly ovlivněny, protože jejich přístup je ještě více omezen a přísněji kontrolován.

„Věříme, že riziko pro zákazníky je minimální,“ uvedl Dropbox. Společnost nicméně dodala: „Mrzí nás, že jsme selhali.“

Sofistikovaný phishing

Oznámení naznačuje, že navzdory informovanosti a školení zůstává phishing významnou (a úspěšnou) metodou kybernetický útoků. Nová zpráva společnosti Netskope ukazuje, že zatímco uživatelé jsou opatrnější, pokud jde o rozpoznání pokusů o phishing v e-mailech a textových zprávách, stále častěji se stávají obětí phishingu prostřednictvím webových stránek, blogů a cloudových aplikací třetích stran.

„V dnešním vyvíjejícím se prostředí hrozeb jsou lidé zahlceni zprávami a oznámeními, takže je těžké phishingové nástrahy odhalit,“ uvedl Dropbox. „Aktéři hrozeb se posunuli od pouhého získávání uživatelských jmen a hesel k získávání také vícefaktorových ověřovacích kódů.“

Představitelé bezpečnostních složek, kteří se k této zprávě vyjádřili, zdůraznili, že je důležité pokračovat v tréninku a zvyšovat povědomí o této problematice.

„Zdá se, že útočníci dnes směřují k ohrožení ‘ekosystémů’. Chtějí být schopni kompromitovat aplikace, které mají masivní uživatelskou základnu (jako je Dropbox), a způsob, jak toho dosáhnout, je pokusit se kompromitovat lidi, kteří mají moc: vývojáře,“ řekl Abhay Bhargav, generální ředitel a zakladatel AppSecEngineer, platformy pro bezpečnostní školení.

Vysvětlil, že tato konkrétní kampaň byla zaměřena na vývojáře Dropboxu a/nebo členy týmu DevOps. Útočníci vytvořili phishingové stránky „maskované“ jako CircleCI. Útočníci podvodně získávali přihlašovací údaje vývojářů a kradli jim přihlašovací údaje ke službě GitHub.

Útočníci kompromitovali přístup vývojářů a využili ho ke krádeži jejich tokenu API, který mohl být použit k přístupu k některým metadatům o zaměstnancích, zákaznících a dodavatelích Dropboxu. Tento sofistikovaný útok sociálního inženýrství dokazuje, že i ti nejlépe vyškolení zaměstnanci mohou být kompromitováni.

„Jedná se o zajímavou evoluci phishingu, protože se orientuje na techničtější uživatele,“ řekl Bhargav. „Odstraňuje to mýtus, že phishingovým útokům podléhají pouze nezkušení uživatelé.“

Co přesně se stalo?

Miliony vývojářů ukládají a spravují zdrojový kód na GitHubu. V září se bezpečnostní tým společnosti dozvěděl, že se aktéři hrozeb vydávající se za CircleCI – populární produkt pro kontinuální integraci a tvorbu kódu – zaměřili na uživatele GitHubu prostřednictvím phishingu, aby získali přihlašovací údaje uživatelů a dvoufaktorové ověřování.

Stejná situace nastala i v případě Dropboxu, který využívá GitHub k publikování svých veřejných a některých soukromých repozitářů. Společnost také používá CircleCI pro vybraná interní nasazení. Pověření GitHub lze použít k přihlášení do CircleCI.

V říjnu obdrželo několik uživatelů Dropboxu phishingové e-maily vydávající se za CircleCI s úmyslem zaútočit na účty GitHub, informoval Dropbox. Jeho systémy některé z těchto e-mailů automaticky umístily do karantény, ale jiné se dostaly do schránek.

Implementace WebAuthn odolného proti phishingu

Aby se předešlo podobným incidentům v budoucnu, Dropbox uvedl, že urychluje zavádění WebAuthn, v současnosti „zlatého standardu“ MFA, který je odolnější vůči phishingu. Brzy bude touto metodou zabezpečeno celé prostředí společnosti pomocí hardwarových tokenů nebo biometrických faktorů.

„Víme, že pro člověka je nemožné odhalit každou phishingovou nástrahu,“ uvedla společnost. „Pro mnoho lidí je klikání na odkazy a otevírání příloh základní součástí jejich práce.“

I ten nejskeptičtější a nejostražitější profesionál se může stát obětí pečlivě připravené zprávy doručené správným způsobem a ve správný čas, uvedla společnost Dropbox.

„Právě proto je phishing stále tak účinný – a právě proto zůstávají technické kontroly nejlepší ochranou proti těmto druhům útoků,“ uvedla společnost.

Zdroj: Venturebeat