Сайт Pcmag сообщил, что хакер использовал искусственный интеллект для глубокой имитации голоса сотрудника, чтобы взломать IT-компанию Retool, в результате чего 27 клиентов облачной компании оказались вовлечены в инцидент кибербезопасности.
Изначально хакеры разослали фишинговые текстовые сообщения различным сотрудникам Retool, выдавая себя за представителей ИТ-отдела Retool и заявляя, что смогут решить проблему с выплатой заработной платы, в результате которой сотрудники не могли получить медицинскую страховку. Большинство сотрудников Retool не ответили на фишинговые сообщения, за исключением одного сотрудника, что и послужило причиной кибератаки.
Согласно информации, предоставленной компанией Retool, ничего не подозревающий сотрудник нажал на URL-адрес в текстовом сообщении, который перенаправил его на поддельный интернет-портал. После входа на портал, который включал форму многофакторной аутентификации, кибератака позвонила сотруднику, используя технологии глубокой подделки на основе искусственного интеллекта, настоящим голосом сотрудника Retool, "голосом", владелец которого был знаком с планом офиса и внутренними процессами. Владелец "голоса" был знаком с планом офиса, коллегами и внутренними процессами компании.
Стоит отметить, что в ходе разговора, хотя пострадавший сотрудник несколько раз выражал скептицизм по поводу звонка, он, к сожалению, в итоге предоставил злоумышленникам дополнительный код многофакторной аутентификации (MFA).
Видно, что киберзлоумышленник мог проникнуть в Retool до того, как позвонил пострадавшему сотруднику. После отказа от многофакторного кода киберзлоумышленник добавляет свое устройство в аккаунт сотрудника и переходит к доступу к его учетной записи GSuite.
По словам Ретола, в связи с недавним внедрением облачной синхронизации в приложении Google Authenticator, хотя эта функция облегчает доступ к кодам многофакторной аутентификации в случае потери или кражи телефона, Ретол отмечает, что если аккаунт пользователя в Google будет взломан, то и его код MFA тоже".
Retool также отмечает, что доступ к аккаунту Google дает немедленный доступ ко всем токенам MFA в этом аккаунте, что является основной причиной, по которой киберзлоумышленники могут получить доступ к внутренним системам. Социальная инженерия - это очень реальный и надежный способ кибератаки, и любая организация или человек могут стать мишенью, если физическая организация достаточно велика, то найдутся сотрудники, которые неосознанно перейдут по ссылкам и получат фишинг.
Наконец, несмотря на то, что компания Retool уже закрыла доступ злоумышленникам, она решила предать огласке этот инцидент, чтобы предостеречь другие компании от подобных атак.