Des employés de Twilio sont tombés dans le piège d’une escroquerie par hameçonnage par SMS la semaine dernière, répondant à des messages prétendant provenir du service informatique de l’entreprise qui ont compromis leurs informations d’identification et conduit au vol de données client.
Ce n’est que le dernier exemple où des employés ont été amenés à donner leur nom d’utilisateur et leur mot de passe, entraînant un vol de données.
Twilio, qui fabrique une plate-forme de messagerie utilisée par les services de marketing pour sa capacité à s’intégrer à Facebook Messenger, WhatsApp, SMS, voix, courriel, etc., a déclaré qu’un nombre « limité » de comptes clients avait été compromis.
Pourtant, c’est un coup dur pour une entreprise qui compte parmi ses clients d’énormes multinationales.
Szilveszter Szebeni, RSI et co-fondateur de Tresorit , une société européenne de logiciels de sécurité basés sur le cryptage, a déclaré bien que des tests de hameçonnage auprès des employés sont le minimum que les organisations devraient faire pour se protéger, les entreprises ne sont même pas en sécurité en utilisant l’authentification à deux facteurs. Avec une attaque ciblée, même les comptes protégés par celle-ci peuvent être piratés en volant une session à l’aide d’un faux site Web. « La vraie solution pour l’industrie est d’aller sans mot de passe », a-t-il déclaré, « Malheureusement, l’industrie ne le prend pas en charge dans tous les cas d’utilisation. »
Dans un communiqué, Twilio a déclaré le 4 août avoir pris connaissance d’un accès non autorisé à ses informations. Des employés actuels et anciens ont déclaré avoir reçu des SMS prétendant provenir du service informatique de Twilio. Les messages typiques suggéraient que les mots de passe de l’employé avaient expiré, ou que son emploi du temps avait changé, et qu’il devait se connecter à une URL fournie. Les URL utilisaient des mots tels que « Twilio », « Okta » et « SSO » pour essayer d’inciter les utilisateurs à cliquer sur un lien les menant à une page de destination qui imitait la page de connexion de Twilio. Les messages texte provenaient de réseaux de transporteurs américains. Ces URL étaient contrôlées par l’attaquant.
« Les cybercriminels semblaient avoir des capacités sophistiquées pour faire correspondre les noms des employés des sources avec leur numéro de téléphone », a ajouté Twilio.
Les victimes qui ont cliqué sur le lien et entré leurs informations d’identification se sont fait voler leur nom d’utilisateur et leur mot de passe. Les attaquants ont ensuite utilisé les informations d’identification volées pour accéder à certains des systèmes internes de Twilio.
Twilio a révoqué l’accès aux comptes d’employés compromis. elle a également « mis l’accent sur [sa] formation à la sécurité pour s’assurer que les employés sont en état d’alerte élevée contre les attaques d’ingénierie sociale, et a émis des avis de sécurité sur les tactiques spécifiques utilisées par les acteurs malveillants depuis qu’ils ont commencé à apparaître il y a plusieurs semaines. [Elle a] également mis en place une formation de sensibilisation obligatoire supplémentaire sur les attaques d’ingénierie sociale au cours des dernières semaines. En outre, [elle étudiera] des précautions techniques supplémentaires au fur et à mesure que l’enquête progresse ».
Adaptation et traduction française par Renaud Larue-Langlois
