Ännu ett internetkommunikationsföretag har fallit för en bluff och ser kunddata förlorad som ett resultat. Twilio har precis avslöjat ett dataintrång.
Företaget, som tillhandahåller verktygen för telefon- och textkommunikation, meddelade allmänheten att de har blivit medvetna om obehörig åtkomst till “information relaterad till ett begränsat antal Twilio-kundkonton” den 4 augusti.
Det var en nätfiskeattack, vilket innebar att Twilio-anställda lurades att ge sina referenser, snarare än att själva företagets programvara hackades. Tyvärr är nätfiske på uppgång, med detalj- och grossistföretag som tillsammans sett en ökning på mer än 400 % i nätfiskeförsök under det senaste året.
Hur Twilio Phishing Scam fungerade
Twilio är fortfarande tidigt i sin utredning, men företaget målade upp en tydlig bild av hur hacket social engineering gick till dess tillkännagivande. Om du är bekant med vanliga nätfiskeförsök kommer det inte att vara en överraskning, men det är ett lätt knep att falla för även när du vet vad du ska leta efter.
Både nuvarande och tidigare anställda har rapporterat att de fått sms som utger sig för att vara företagets IT-avdelning, förklarar Twilio. Dessa texter kan hävda att ett lösenord har upphört att gälla eller ett schema har ändrats – vad som helst för att uppmana det blivande offret att försöka logga in på sitt konto. Sedan skickas de till en URL som kontrolleras av nätfiskaren.
“Webbadresserna använde ord inklusive ‘Twilio’, ‘Okta’ och ‘SSO’ för att försöka lura användare att klicka på en länk som tar dem till en målsida som imiterade Twilios inloggningssida, säger Twilio. “Smsen kom från amerikanska operatörsnätverk. Vi arbetade med de amerikanska operatörerna för att stänga av skådespelarna och arbetade med värdleverantörerna som serverade de skadliga webbadresserna för att stänga av dessa konton.”
Bolaget konstaterar att hotaktörerna i fråga verkade ha “sofistikerade förmågor” att kunna matcha anställdas namn med telefonnummer för att skicka texterna till rätt personer. Till skillnad från de konstiga textmeddelanden som nätfiskebedragare de flesta av oss får i våra SMS-tjänster eller meddelandeappar, var dessa skräddarsydda.
Kan du överleva en nätfiskeattack?
Twilios svar var det rätta: Företaget offentliggjorde attacken, men inte innan de underrättade berörda kunder och arbetade med dem.
Det bästa tillvägagångssättet skulle naturligtvis vara att förhindra en nätfiskeattack överhuvudtaget. Om du är orolig för problemet på ditt företag finns det några mildrande försiktighetsåtgärder du kan vidta.
- Investera först i några säkerhetsåtgärder. Programvara för fjärrarbete kan säkerställa att dina anställda vet vilka tjänster och webbplatsinloggningar som är legitima. Tja, förutsatt att dina anställda kommer ihåg att inte klicka på externa länkar, oavsett hur officiella de kan verka. Kolla in de bästa alternativen här.
- Andra, medarbetarutbildningar kan hjälpa till att framhäva vikten av förebyggande säkerhetsåtgärder som att kontrollera felstavningar i e-postadresser eller oanmälda förändringar i hur IT-teamet kontaktar anställda.
- Äntligen en bra företagsomfattande lösenordshanteringsverktyg kan flagga misstänkta eller okända webbplatsinloggningar, vilket ger anställda en sista chans att märka att något är fel innan de ger bort sina inloggningsuppgifter för gott.
Vi har samlat ihop toppalternativ när det gäller företagslösenordssäkerhetsverktygoch med tanke på de eskalerande nätfiskeattackerna mot företag, rekommenderar vi att du skaffar en lösenordshanterare förr snarare än senare.
