Um hacker usou IA para falsificar a voz de um funcionário e invadir uma empresa de TI.
A violação, que envolveu 27 clientes de nuvem, ocorreu no mês passado na Retool, uma empresa que ajuda clientes a criar software empresarial.
O hacker iniciou a intrusão enviando a vários funcionários da Retool mensagens de texto baseadas em SMS que alegavam vir de um membro da equipe de TI da Retool que estava entrando em contato para resolver um problema de folha de pagamento que impedia os funcionários de receberem cobertura de saúde. A maioria dos funcionários da Retool que receberam a mensagem de phishing abstiveram-se de responder, exceto um.
O funcionário desavisado clicou em um URL na mensagem, que o encaminhou para um portal falso da Internet para fazer login. Depois de fazer login no portal, que incluía um formulário de autenticação multifatorial, o hacker ligou para o funcionário enquanto usava um deepfake alimentado por IA.
“A pessoa que ligou alegou ser um dos membros da equipe de TI e falsificou a voz real de nosso funcionário”, disse Retool no relatório. “A voz conhecia a planta do escritório, os colegas de trabalho e os processos internos da empresa. Ao longo da conversa, o funcionário ficou cada vez mais desconfiado, mas infelizmente forneceu ao invasor um código adicional de autenticação multifator (MFA).
O incidente sugere que o misterioso invasor já pode ter se infiltrado no Retool até certo ponto antes de ligar para o funcionário. Depois que o código multifator foi abandonado, o invasor adicionou seu próprio dispositivo à conta do funcionário e passou a acessar sua conta GSuite.
Retool diz que o acesso ao GSuite foi especialmente devastador desde que o aplicativo Authenticator do Google incorporou recentemente uma função de sincronização em nuvem. Isso significa que seus códigos de autenticador multifator podem ser visualizados em mais de um dispositivo, como um smartphone e um tablet sincronizados com a conta.
O Google adicionou a sincronização na nuvem para que as pessoas pudessem acessar os códigos MFA caso seu telefone fosse perdido ou roubado. Mas Retool aponta uma desvantagem importante da abordagem: “Se sua conta do Google está comprometida, agora também estão seus códigos MFA”.
“O fato de o acesso a uma conta do Google ter dado acesso imediato a todos os tokens MFA mantidos nessa conta é a principal razão pela qual o invasor conseguiu entrar em nossos sistemas internos”, acrescenta a empresa.
Embora a Retool tenha revogado o acesso do hacker, ela decidiu divulgar o incidente para alertar outras empresas sobre como se protegerem de ataques semelhantes. “A engenharia social é um vetor de ataque muito real e confiável, e qualquer um pode se tornar um alvo”, diz. “Se a sua empresa for grande o suficiente, haverá alguém que involuntariamente clica em um link e é vítima de phishing.”
A empresa também pediu ao Google que alterasse seu aplicativo autenticador para tornar mais fácil para as empresas desativarem a função de sincronização em nuvem para seus funcionários. O Google não respondeu imediatamente a um pedido de comentário.
