- A conta no Twitter da Fly.io foi comprometida após um ataque de phishing
- O CEO Kurt Mackey explicou como acabou expondo as credenciais da conta por meio de um e-mail de phishing sofisticado
- A conta no Twitter era tratada internamente como um ativo de baixa importância, ficando fora das prioridades de segurança
- O texto destaca a importância de autenticação resistente a phishing (MFA, Passkeys, FIDO2 etc.) como forma de prevenção
- O incidente também reforçou a necessidade de fortalecer a segurança MFA da conta no Twitter e rever a percepção interna sobre segurança
Visão geral do incidente de phishing no Twitter da Fly.io
- A conta da Fly.io no Twitter foi comprometida em um ataque de phishing
- O CEO Kurt Mackey recebeu um e-mail de phishing cuidadosamente elaborado e, ao inserir as credenciais da conta, acabou se expondo ao ataque
- O pano de fundo essencial para o sucesso do golpe foi o fato de a conta do Twitter ser objetivamente percebida como pouco importante, além de uma vulnerabilidade psicológica da equipe responsável, pouco acostumada à cultura jovem da internet
Como o ataque de phishing aconteceu em detalhes
- A Fly.io já terceirizava havia muito tempo parte da gestão do canal no Twitter, e não estava plenamente familiarizada com conteúdos da nova geração, como memes criativos
- O e-mail de phishing usado neste ataque foi projetado para parecer um alerta real do x.com (Twitter), explorando gatilhos psicológicos que provocam ansiedade na liderança
- Kurt pegou as credenciais no 1Password e fez login em um site de phishing manipulado pelo atacante
- Logo após o ataque, sinais como a alteração do endereço de e-mail da conta para um endereço controlado pelo invasor foram detectados, e internamente foram realizados passos de verificação e bloqueio de todos os acessos
Estratégia de defesa contra phishing e situação de segurança da organização
- Em geral, combater phishing apenas com “treinamento de funcionários” tem limites, e é necessário reconhecer que qualquer pessoa pode clicar por engano
- A medida estrutural é aplicar autenticação resistente a phishing (U2F, FIDO2, Passkeys etc.) com um modelo de autenticação mútua
- A infraestrutura interna da Fly.io é protegida com SSO e MFA seguros por meio do Google IdP, de modo que as vulnerabilidades estavam relativamente concentradas no Twitter e em áreas legadas
- O incidente levou ao reconhecimento de que até áreas não centrais, como contas compartilhadas de redes sociais, também precisam ter o mesmo nível de segurança de autenticação
Resposta ao incidente e processo de recuperação
- O atacante invalidou imediatamente todas as sessões e tentou redefinir o 2FA, o que fez com que, mesmo após a Fly.io alterar rapidamente a senha, a recuperação total da conta ainda levasse tempo
- Com suporte manual da X.com, o controle completo da conta foi recuperado em cerca de 15 horas
- No geral, não houve vazamento de dados de usuários ou clientes, mas houve dano temporário à imagem da marca e carga adicional de trabalho para os engenheiros na resposta ao incidente
- O atacante apagou parte do histórico do Twitter da Fly.io, mas o dano efetivo não foi grande
Conclusão e lições aprendidas
- A principal lição deste incidente é que “até mesmo um CEO pode confiar facilmente em um e-mail” e que qualquer pessoa pode cair em phishing
- Daqui para frente, a empresa pretende tornar MFA com base em Passkeys obrigatório para todas as contas importantes e usar este incidente como exemplo em práticas de compliance de segurança, como SOC2
- Em decisões de segurança dentro da organização, qualquer ativo que ainda não tenha “autenticação resistente a phishing e aplicação de SSO IdP” deve ser necessariamente reconhecido como um fator de risco
- A expectativa é que este incidente sirva de alerta para organizações semelhantes
1 comentários
Comentários do Hacker News
Na empresa anterior, toda vez que recebíamos uma auditoria anual de segurança com pentest, a empresa de auditoria sempre sugeria tentar também phishing ou ataques de engenharia social, mas dizia que não recomendava porque sempre dava certo
Uma história marcante era que, se a empresa de pentest deixasse alguns USBs largados de propósito no estacionamento, alguém invariavelmente pegava um e tentava conectá-lo a um PC do escritório, acabando comprometido
Phishing, no fundo, não é tão diferente assim
É um bom momento para configurar passkeys; veja o guia de Passkeys
Na nossa empresa também fazemos treinamentos regulares de phishing com a equipe interna, e a taxa de pessoas que não clicam chega a 90% (não tenho certeza do número exato)
Ainda assim, assusta perceber de novo que 10% são 1.500 pessoas
Recentemente mudaram o domínio remetente do e-mail de phishing para um domínio interno, então aquele banner habitual avisando que era e-mail externo não aparecia, e eu também caí
Alguém mencionou casos em que uma pessoa conecta um USB que achou e acaba sendo hackeada, e isso me lembrou uma citação de que gosto
É de uma fonte anônima envolvida no ataque de 2012 à usina nuclear iraniana (Stuxnet)
"Sempre existe um idiota que não pensa duas vezes sobre o USB que tem na mão"
No ano passado recebi um e-mail de phishing no e-mail corporativo, e ele era bem convincente
Eu sabia que era phishing, mas se estivesse realmente atarefado poderia ter caído
Quando vejo sites de phishing tão bem feitos, gosto de abri-los de propósito em um sandbox e preencher os formulários só com informações falsas para fazer o atacante perder tempo
Mas depois descobri que tinha sido enviado pela empresa de pentest contratada pela nossa empresa, e a URL continha um código ligado à minha conta, então, mesmo sem eu inserir nenhuma informação, registraram que eu tinha caído no phishing
Se o sucesso do phishing for medido assim, acho que o pentest perde bastante o sentido
Se o comprometimento acontece porque a pessoa executa sem pensar um binário vindo de um pendrive ou coisa do tipo, passkeys também não vão ajudar
O mesmo vale se, via engenharia social, fizerem a pessoa instalar um executável qualquer
Dizem que o Stuxnet foi distribuído exatamente assim, por USB, mas sinceramente não sei se esse método ainda funciona tão bem no mundo de hoje
Já quase fui vítima de phishing uma vez
Entrei sem perceber em um domínio levemente alterado, e só consegui me salvar porque usava uma hardware wallet
Isso me fez perceber que qualquer pessoa pode cair em phishing quando está ocupada, cansada ou só desatenta por um instante
Como o Thomas disse, é importante usar passkeys em todos os serviços
Se você já está acostumado ao ecossistema Apple, existe um tutorial que explica como implementar PassKey em apps iOS
Fazendo o contraponto, eu acho que passkeys ainda são confusas e cheias de limitações, então não vejo grande vantagem em relação a usar um bom gerenciador de senhas com senhas fortes
Concordo muito com a frase "ninguém está 100% seguro contra phishing"
Há alguns anos, até o responsável pela segurança foi levado a cair durante um teste
Isso realmente mostra que qualquer pessoa está em risco
No tópico sobre o phishing fraudulento relacionado à Fly.io, se o ataque realmente tivesse causado um grande prejuízo, duvido que teria sido tratado de forma tão leve
Ainda assim, se alguém de fato perdeu cripto por causa do link, fico pensando se a responsabilidade da Fly.io não poderia virar uma questão
Há pesquisas mostrando que treinamento de phishing não é muito eficaz
Veja "Understanding the Efficacy of Phishing Training in Practice"
Conselhos do tipo "não digite sua senha em sites onde você não deveria digitá-la; digite apenas onde deve" acabam sendo tautológicos
É parecido com 2FA por SMS dizendo "não compartilhe este código com ninguém!", quando na prática a estrutura é justamente você digitar esse código no site durante o login e transmiti-lo
Sempre achei essas mensagens de alerta bastante frustrantes
Eu trabalho em um setor altamente regulado, e alguns anos atrás, depois que um funcionário caiu em phishing, o órgão regulador pediu cinco anos de registros de testes e treinamentos de phishing
Para quem está na nossa situação, esse tipo de treinamento acaba sendo um mal necessário
O artigo original já menciona o link para esse mesmo paper
Me identifiquei com a fala de que "nosso filho Zoomer disse que adultos como nós são bregas demais para serem confiáveis nesse tipo de coisa"
Ainda assim, gosto da postura de levar isso com humor
E-mails de phishing dizendo que "conteúdo postado no X violou regras" são tão comuns que eu recebo mais de 10 por semana
Por isso precisei mudar os filtros várias vezes (não é simples barrar apenas a letra X, e os golpistas continuam mudando o texto)
Acabei trocando o serviço de segurança de e-mail que usava, e, entre vários fornecedores que testei, só a Check Point conseguiu bloquear todos os e-mails de phishing do X (não é publicidade, só compartilhando a informação)
Do ponto de vista de uma empresa de segurança, chega a ser constrangedor quantas vezes isso passa, mesmo quando os sinais de phishing são bem claros
Eu também sofri esse mesmo tipo de ataque de phishing há alguns meses
O nível de engenharia de interface foi realmente impressionante
Compartilhamento de captura de tela da tela de phishing
Há notícias de que o Chromium está desenvolvendo recursos de IA local no navegador, e isso talvez possa ser usado algum dia também para checagens de segurança
Por exemplo, em links que abrem externamente em uma nova aba, a IA poderia detectar e alertar que "esta página parece um site conhecido, mas a URL é diferente"
Mesmo aplicando isso só aos mil sites mais populares, acho que já evitaria muitos incidentes de phishing
Uma URL como "imagecontent-x.com" deveria soar como alerta para qualquer um
Fiquei curioso se, nesse caso, o navegador deixou de preencher automaticamente as credenciais
Também queria saber se isso acontece com frequência em tráfego legítimo e se o ícone de cadeado ao lado da barra de endereço aparecia normalmente
Fiquei impressionado com o quão convincente o invasor fez tanto a landing page falsa quanto o e-mail de phishing
Como normalmente não acompanho muito o lado de cripto, fiquei curioso sobre a base para afirmarem que a "chance de sucesso era baixa e não houve dano"
Queria saber se é possível rastrear a wallet usada na landing page falsa para verificar se realmente não houve vítimas
Foi mais uma lembrança da importância de um gerenciador de senhas que funcione direito
Se você opera um site, precisa tomar cuidado para não quebrar o funcionamento dos gerenciadores de senhas
Se o site não permite autofill da senha, isso imediatamente me soa como um enorme sinal de alerta
Considero 2FA baseado em código completamente inútil contra phishing
Se eu consigo fazer login, o atacante também consegue pegar o código 2FA, então não faz diferença o método
Até o criador do haveibeenpwned.com já teve experiência com phishing (mesmo usando gerenciador de senhas)
Tenho curiosidade sobre como conciliar isso com os casos em que pessoas tecnicamente competentes, usando gerenciador de senhas, ainda assim caem em phishing
É preciso desativar o autofill
Ataques mais modernos incluem coisas como tapjacking, então há risco
Eu estava me perguntando por que esse texto tinha ido parar no topo, mas entendi quando vi no final o nome do autor (Kurt)
A lição é: "se até o Kurt cai, qualquer um pode cair"
Desta vez o dano foi mínimo, mas todo mundo tem pontos cegos, e esse tipo de vulnerabilidade costuma ficar escondido justamente nesses cantos negligenciados
Se o atacante não fosse apenas um golpista comum, mas realmente malicioso, imagino que poderia ter começado pela conta oficial da empresa e depois avançado ainda mais com engenharia social
O texto em si também é excelente, mas as técnicas de phishing parecem realmente sofisticadas
Ouvi dizer que esse golpe de phishing tem circulado bastante ultimamente e que não fomos os únicos a sermos pegos
Mas eu não fazia ideia disso antes de esse caso acontecer
O humor autodepreciativo foi divertido
Eu mesmo lembro de uma ou duas vezes em que quase caí
Normalmente percebia o "opa" logo depois de clicar uma vez e conseguia bloquear a conta imediatamente, evitando dano
Imagem de referência da história