Le MFA déjoué par smishing : 0ktapus fait un strike

Clément Bohic,
Linkedin
0ktapus

Une campagne de phishing par SMS destinée à récupérer des identifiants SSO et des codes MFA a fait des victimes telles que Mailchimp, Signal et Twilio.

Devrait-on, pour l’authentification forte, privilégier les clés de sécurité physique aux codes à usage unique ? Cloudflare a procédé ainsi… et cela l’a probablement mieux protégé face à 0ktapus.

On a donné ce nom à une campagne de phishing classique dans son mode opératoire… mais singulière de par les victimes qu’elle a faites. Twilio, Mailchimp, Signal et DigitalOcean en font partie.

Twilio fut l’un des premiers à émettre une alerte publique. C’était début août. Les attaquants avaient accédé à sa console de support client, grâce à des identifiants SSO (Okta) et des codes MFA récupérés auprès d’employés. Ces derniers avaient cliqué sur un lien malveillant contenu dans un SMS. Généralement, l’objet était une expiration de mot de passe expiré ou une modification d’agenda.

L’accès à ladite console a permis de toucher une vingtaine de clients en aval. Parmi eux, Signal, qui utilise Twilio pour valider les numéros de téléphone de ses utilisateurs. Près de 2000 d’entre eux ont effectivement été affectés, estime l’application de messagerie. En récupérant leurs numéros et les SMS de vérification, les attaquants pouvaient tenter d’enregistrer leur compte sur d’autres appareils.

0ktapus : des victimes à plusieurs niveaux

Du côté de Cloudflare, on admet que trois employés se sont fait piéger. Les premiers SMS leur sont parvenus le 20 juillet, en provenance de SIM T-Mobile.

Les pages de phishing sur lesquelles atterrissaient les employés imitaient le portail d’authentification Okta de leur entreprise. Les identifiants récoltés acheminés aux attaquants via Telegram. La campagne – en cours depuis au moins mars 2022 – aurait permis d’en exfiltrer près de 10 000, quasi intégralement en Amérique du Nord.

Chez Mailchimp, il s’est passé la même chose que chez Twilio. À savoir l’accès à des outils de support client. Avec deux conséquences principales. D’un côté, la fuite d’informations relatives essentiellement à des organisations du secteur financier et des cryptomonnaies. De l’autre, le détournement de comptes. DigitalOcean en a été victime.

L’hébergeur utilise Mailchimp pour, entre autres, transmettre les mails de réinitialisation de mot de passe. Les attaquants en ont profité pour effectuer cette procédure sans éveiller l’attention des utilisateurs.

Photo d’illustration © thodonal – Adobe Stock