Использование ИИ для имитации голоса сотрудника позволило хакерам проникнуть в IT-компанию

В прошлом месяце компания Retool, специализирующаяся на разработке бизнес-приложений для клиентов, стала жертвой взлома. Жертвами взлома стали 27 облачных клиентов компании.

Хакер начал свою атаку, отправив нескольким сотрудникам Retool SMS-сообщения от лица члена IT-команды, якобы решая проблему с выплатой зарплаты и предоставлением медицинской страховки. Большинство получивших проигнорировали фишинговое сообщение, за исключением одного сотрудника.

Этот ничего не подозревающий сотрудник перешел по URL-ссылке в сообщении, которая перенаправила его на поддельный интернет-портал для входа. После авторизации на сайте, с ним связались по телефону, используя голос, созданный с помощью ИИ-технологий, копирующий реальный голос сотрудника. В разговоре хакер, изображая члена IT-команды, был знаком с планировкой офиса, коллегами по работе и внутренними процессами компании. В ходе беседы сотрудник начал подозревать подвох, однако предоставил атакующему дополнительный код двухфакторной аутентификации (MFA).

Этот инцидент указывает на то, что атакующий, возможно, уже частично получил доступ к ресурсам Retool до этого звонка. Получив код двухфакторной аутентификации, злоумышленник добавил свое устройство к аккаунту сотрудника и получил доступ к его GSuite-аккаунту.

Особенно опасным стало то, что приложение Google Authenticator недавно добавило функцию синхронизации в облаке. Это означает, что коды MFA теперь можно просматривать на нескольких устройствах, связанных с аккаунтом.

Retool подчеркнула серьезность проблемы: “Если ваш Google-аккаунт скомпрометирован, ваши MFA-коды также находятся под угрозой”. По словам компании, именно доступ к Google-аккаунту позволил злоумышленнику проникнуть в внутренние системы компании.

Retool уже лишила хакера доступа, но решила раскрыть информацию о произошедшем, чтобы предостеречь другие компании. Они также призвали Google изменить свое приложение аутентификации, чтобы компании могли легко отключать функцию синхронизации в облаке для своих сотрудников. Google пока не комментировал эту ситуацию.

Public Release.