“0ktapus” takma adı verilen aylarca süren bir kimlik avı saldırısından Twilio, DoorDash ve Cloudflare dahil olmak üzere 130’dan fazla kuruluş etkilendi. Siber güvenlik ekibi Group-IB’nin bir raporuna göre, popüler tek oturum açma hizmeti Okta’yı taklit eden saldırganlar tarafından yaklaşık 10.000 kişiye ait giriş bilgileri çalındı.
15 Ağustos’ta, güvenli mesajlaşma hizmeti Signal, kullanıcıları saldırganların Twilio ihlalinin 1.900 Signal hesabını ifşa etmelerine izin verdiği konusunda uyardı. Twilio, 163 müşterinin verilerine erişildiğini belirterek ihlal bildirimini de güncelledi. Ayrıca, çok faktörlü kimlik doğrulama için bulut hizmeti olan Authy’nin 93 kullanıcısının hesaplarına eriştiğini ve ek cihazları kaydettirdiğini belirtti. Saldırı gerçekleştirilirken hedeflere bir kimlik avı sitesine yönlendiren kısa mesajlar gönderildi. Kurbanlardan kullanıcı adları, şifreleri ve iki faktörlü kimlik doğrulama kodu istendi. İlginç bir şekilde, Group-IB’nin analizi saldırganların biraz deneyimsiz olduğunu gösteriyor. Group-IB’de kıdemli bir tehdit istihbarat analisti olan Roberto Martinez ise, “Kimlik avı kitinin analizi, kötü yapılandırıldığını ve geliştirilme şeklinin daha fazla analiz için çalınan kimlik bilgilerini çıkarma yeteneği sağladığını ortaya koydu.” dedi.
