Retool : une attaque d’hameçonnage par SMS ?

L’entreprise basée à San Francisco a accusé une fonction de synchronisation du compte Google récemment introduite en avril 2023 d’avoir aggravé la brèche, la qualifiant de « modèle sombre ».

« Le fait que Google Authenticator se synchronise avec le nuage constitue un nouveau vecteur d’attaque », a déclaré Snir Kodesh, responsable de l’ingénierie chez Retool. « Ce que nous avions mis en œuvre à l’origine était une authentification multifactorielle. Mais grâce à cette mise à jour de Google, ce qui était auparavant une authentification à plusieurs facteurs est devenu silencieusement (pour les administrateurs) une authentification à un seul facteur ».

Retool a déclaré que l’incident, qui a eu lieu le 27 août 2023, n’a pas permis d’accès non autorisé à des comptes sur site ou gérés. Il a également coïncidé avec la migration des logins de l’entreprise vers Okta.

Tout a commencé par une attaque de phishing par SMS visant ses employés, dans laquelle les acteurs de la menace se sont fait passer pour un membre de l’équipe informatique et ont demandé aux destinataires de cliquer sur un lien apparemment légitime pour résoudre un problème lié à la paie.

Un employé est tombé dans le piège de l’hameçonnage, qui l’a conduit à une fausse page d’atterrissage qui l’a incité à communiquer ses informations d’identification. Lors de l’étape suivante de l’attaque, les pirates ont appelé l’employé, se faisant à nouveau passer pour un membre de l’équipe informatique en imitant sa « voix réelle » afin d’obtenir le code d’authentification multifactorielle (MFA).

« Le jeton OTP supplémentaire partagé au cours de l’appel était essentiel, car il a permis au pirate d’ajouter son propre appareil personnel au compte Okta de l’employé, ce qui lui a permis de produire sa propre MFA Okta à partir de ce moment-là », a déclaré Kodesh. « Cela leur a permis d’avoir une session G Suite [maintenant Google Workspace] active sur cet appareil.

Le fait que