Die Website Pcmag hat enthüllt, dass ein Hacker künstliche Intelligenz benutzt hat, um die Stimme eines Mitarbeiters zu fälschen, um sich in die IT-Firma Retool zu hacken und 27 Cloud-Kunden in einen Cybersicherheitsvorfall zu verwickeln.
Die Hacker schickten zunächst Phishing-SMS an verschiedene Retool-Mitarbeiter, in denen sie sich als Mitarbeiter des IT-Teams von Retool ausgaben und behaupteten, sie könnten ein Problem mit der Gehaltsabrechnung lösen, bei dem die Mitarbeiter keine Krankenversicherung abschließen konnten. Die meisten Retool-Mitarbeiter reagierten nicht auf die Phishing-Nachrichten, mit Ausnahme eines Mitarbeiters, was den Cyberangriff auslöste.
Nach Angaben von Retool klickte der ahnungslose Mitarbeiter auf eine URL in der Textnachricht, die ihn zu einem gefälschten Internetportal weiterleitete. Nach dem Einloggen in das Portal, das ein Formular zur Multi-Faktor-Authentifizierung enthielt, rief der Cyberangreifer den Mitarbeiter mit Hilfe von KI-gesteuerten Deep-Fgery-Techniken mit der echten Stimme eines Retool-Mitarbeiters an, einer "Stimme", deren Besitzer mit dem Büroplan und den internen Prozessen vertraut war. Der Besitzer der "Stimme" war mit dem Grundriss des Büros, den Mitarbeitern und den internen Abläufen des Unternehmens vertraut.
Es ist erwähnenswert, dass der Angestellte des Opfers im Laufe des Gesprächs zwar mehrmals seine Skepsis gegenüber dem Anruf zum Ausdruck brachte, am Ende aber leider einen zusätzlichen MFA-Code (Multi-Factor-Authentication) an die Angreifer weitergab.
Es ist zu erkennen, dass der Cyber-Angreifer Retool bis zu einem gewissen Grad infiltriert haben könnte, bevor er den geschädigten Mitarbeiter anruft. Sobald der Multi-Faktor-Code aufgegeben wird, fügt der Cyber-Angreifer sein Gerät dem Konto des Mitarbeiters hinzu und greift auf dessen GSuite-Konto zu.
Retool weist darauf hin, dass die kürzlich eingeführte Cloud-Synchronisierung in der Google Authenticator-App zwar den Zugang zu den Codes für die Multi-Faktor-Authentifizierung bei Verlust oder Diebstahl eines Telefons erleichtert, dass aber, wenn das Google-Konto eines Nutzers kompromittiert wird, auch sein MFA-Code verloren geht".
Retool weist ferner darauf hin, dass der Zugriff auf ein Google-Konto sofortigen Zugriff auf alle MFA-Tokens in diesem Konto ermöglicht, was der Hauptgrund dafür ist, dass Cyberangreifer Zugang zu internen Systemen erhalten können. Social Engineering ist ein sehr reales und glaubwürdiges Mittel für Cyberangriffe, und jede Organisation oder Einzelperson kann zur Zielscheibe werden. Wenn die physische Organisation groß genug ist, wird es Mitarbeiter geben, die unwissentlich auf Links klicken und gephisht werden.
Obwohl Retool den Zugang des Cyberangreifers inzwischen gesperrt hat, hat das Unternehmen beschlossen, den Sicherheitsvorfall öffentlich zu machen, um andere Unternehmen vor ähnlichen Angriffen zu warnen.