CISO Advisor: 238.042 page views/mês - 89.507 usuários/mês - 5.291 assinantes

Cisco alerta sobre roubo de registros de SMS para login MFA

Da Redação
16/04/2024

A equipe de segurança do Cisco Duo, braço da Cisco Security, alerta que hackers roubaram registros de VoIP e SMS de alguns clientes para mensagens de autenticação multifator (MFA) visando ataques cibernéticos a provedores de telefonia.

O Cisco Duo é um serviço de autenticação multifatorial e logon único usado por empresas para fornecer acesso seguro a redes internas e aplicativos corporativos.

A página inicial do Duo informa que atende 100 mil clientes e lida com mais de 1 bilhão de autenticações mensalmente, com mais de 10 milhões de downloads no Google Play.

Em e-mails enviados a clientes, o Cisco Duo afirma que um provedor, que ela preferiu não revelar o nome, que lida com as mensagens de autenticação multifator (MFA) SMS e VOIP da empresa foi comprometido no dia 1º deste mês.

O aviso explica que um operador de ameaça obteve credenciais de funcionários por meio de um ataque de phishing e depois usou essas credenciais para obter acesso aos sistemas do provedor de telefonia. O invasor então baixou registros de mensagens SMS e VoIP MFA associados a contas Duo específicas entre 1º e 31 de março de 2024.

“Estamos escrevendo para informá-lo sobre um incidente envolvendo um de nossos fornecedores de telefonia Duo (o “provedor”) que o serviço usa para enviar mensagens de autenticação multifator (MFA) via SMS e VOIP para seus clientes”, diz o comunicado enviado aos clientes afetados. “A Cisco está trabalhando ativamente com o provedor para investigar e resolver o incidente. Enquanto a investigação está em andamento, a seguir está um resumo do incidente com base no que aprendemos até o momento.”

O provedor garante que o operador da ameaça não acessou nenhum conteúdo das mensagens nem utilizou seu acesso para enviar mensagens aos clientes. No entanto, os logs de mensagens roubadas contêm dados que poderiam ser usados em ataques de phishing direcionados para obter acesso a informações confidenciais, como credenciais corporativas.

Os dados contidos nesses registros incluem número de telefone, transportadora, dados de localização, data, tempo e tipo de mensagem.

Veja isso
Novo golpe por SMS tem maior potencial de fazer vítimas
Exploração em VoIP amplifica DDoS 4 bilhões de vezes

O provedor diz que quando descobriu a violação, invalidou as credenciais comprometidas, analisou os registros de atividades e notificou a Cisco adequadamente. Medidas de segurança adicionais também foram implementadas para evitar incidentes semelhantes no futuro. Ele forneceu ao Cisco Duo todos os registros de mensagens expostas, que podem ser solicitados pelo e-mail [email protected] para ajudar a entender melhor o escopo da violação, seu impacto e a estratégia de defesa apropriada a ser adotada.

A Cisco alerta os clientes afetados por esta violação para estarem vigilantes contra possíveis ataques de phishing por SMS ou de engenharia social usando as informações roubadas.

O FBI alertou no ano passado que operadores de ameaças usavam cada vez mais phishing por SMS e chamadas de voz em ataques de engenharia social para violar redes corporativas.Para ter acesso ao relatório completo do Cisco Duo (em inglês) clique aqui.

Compartilhar: