Senhas de Uso Único: De Ferramenta de Segurança a Passivo Corporativo
Ataques de SMS phishing estão explorando senhas de uso único (OTPs) e credenciais de acesso remoto, comprometendo grandes empresas de tecnologia e suporte ao cliente. A facilidade com que cibercriminosos interagem com funcionários via dispositivos móveis transformou uma medida de segurança em um risco significativo.
MundiX News·25 de junho de 2026·10 min de leitura·👁 1 views
Phishers estão obtendo sucesso notável ao usar mensagens de texto para roubar credenciais de acesso remoto e senhas de uso único (OTPs) de funcionários em algumas das maiores empresas de tecnologia e firmas de suporte ao cliente do mundo. Uma recente onda de ataques de SMS phishing, orquestrada por um grupo de cibercriminosos, gerou uma enxurrada de divulgações de violações de dados por parte das empresas afetadas, todas lutando para combater a mesma ameaça de segurança persistente: a capacidade dos golpistas de interagir diretamente com os funcionários através de seus dispositivos móveis.
Em meados de junho de 2022, um grande volume de mensagens de SMS phishing começou a visar funcionários de empresas de recrutamento comercial que fornecem suporte ao cliente e terceirização para milhares de companhias. As mensagens solicitavam que os usuários clicassem em um link e fizessem login em uma página de phishing que imitava a página de autenticação Okta de seus empregadores. Aqueles que submetiam suas credenciais eram então solicitados a fornecer a senha de uso único necessária para a autenticação multifator (MFA).
Os phishers por trás desse esquema utilizaram domínios recém-registrados que frequentemente incluíam o nome da empresa-alvo e enviaram mensagens de texto instando os funcionários a clicar em links para esses domínios para visualizar informações sobre uma mudança pendente em sua escala de trabalho. Os sites de phishing exploravam um bot de mensagens instantâneas do Telegram para encaminhar quaisquer credenciais submetidas em tempo real, permitindo que os atacantes usassem o nome de usuário, senha e código de uso único roubados para fazer login como aquele funcionário no site real do empregador. No entanto, devido à forma como o bot foi configurado, foi possível para pesquisadores de segurança capturar as informações que estavam sendo enviadas pelas vítimas para o servidor público do Telegram.
Esse repositório de dados foi primeiramente relatado por pesquisadores de segurança da Group-IB, sediada em Singapura, que apelidou a campanha de "0ktapus" devido aos atacantes que visavam organizações que utilizam ferramentas de gerenciamento de identidade da Okta.com. "Este caso é de interesse porque, apesar de usar métodos de baixa habilidade, ele conseguiu comprometer um grande número de organizações bem conhecidas", escreveu a Group-IB. "Além disso, uma vez que os atacantes comprometiam uma organização, eles eram rapidamente capazes de pivotar e lançar ataques subsequentes na cadeia de suprimentos, indicando que o ataque foi planejado cuidadosamente com antecedência."
Não está claro quantas dessas mensagens de texto de phishing foram enviadas, mas os dados do bot do Telegram revisados pelo KrebsOnSecurity mostram que elas geraram quase 10.000 respostas ao longo de aproximadamente dois meses de ataques esporádicos de SMS phishing visando mais de cem empresas. Muitas respostas vieram daqueles que aparentemente estavam cientes do esquema, como evidenciado pelas centenas de respostas hostis que incluíam palavrões ou insultos direcionados aos phishers: a primeira resposta registrada nos dados do bot do Telegram veio de um desses funcionários, que respondeu com o nome de usuário "havefuninjail".
Mesmo assim, milhares responderam com o que parecem ser credenciais legítimas — muitas delas incluindo códigos de uso único necessários para autenticação multifator. Em 20 de julho, os atacantes voltaram seus olhares para a gigante de infraestrutura de internet Cloudflare.com, e as credenciais interceptadas mostram que pelo menos três funcionários caíram no golpe. Em uma postagem de blog no início deste mês, a Cloudflare disse que detectou os comprometimentos de conta e que nenhum sistema da Cloudflare foi comprometido. A Cloudflare afirmou que não depende de senhas de uso único como segundo fator, portanto, não havia nada a fornecer aos atacantes. No entanto, a Cloudflare disse que queria chamar a atenção para os ataques de phishing porque eles provavelmente funcionariam contra a maioria das outras empresas.
"Este foi um ataque sofisticado visando funcionários e sistemas de uma forma que acreditamos que a maioria das organizações seria provavelmente violada", escreveu o CEO da Cloudflare, Matthew Prince. "Em 20 de julho de 2022, a equipe de segurança da Cloudflare recebeu relatos de funcionários recebendo mensagens de texto com aparência legítima apontando para o que parecia ser uma página de login Okta da Cloudflare. As mensagens começaram às 22:50 UTC de 20/07/2022. Ao longo de menos de 1 minuto, pelo menos 76 funcionários receberam mensagens de texto em seus telefones pessoais e de trabalho. Algumas mensagens também foram enviadas para membros da família dos funcionários."
Em três ocasiões separadas, os phishers visaram funcionários da Twilio.com, uma empresa sediada em São Francisco que fornece serviços para fazer e receber mensagens de texto e chamadas telefônicas. Não está claro quantos funcionários da Twilio receberam os SMS phishes, mas os dados sugerem que pelo menos quatro funcionários da Twilio responderam a uma série de tentativas de SMS phishing em 27 de julho, 2 de agosto e 7 de agosto. Nesta última data, a Twilio divulgou que em 4 de agosto tomou conhecimento de acesso não autorizado a informações relacionadas a um número limitado de contas de clientes da Twilio através de um sofisticado ataque de engenharia social projetado para roubar credenciais de funcionários.
"Este ataque generalizado contra nossa base de funcionários conseguiu enganar alguns funcionários a fornecer suas credenciais", disse a Twilio. "Os atacantes então usaram as credenciais roubadas para obter acesso a alguns de nossos sistemas internos, onde puderam acessar certos dados de clientes." Esses "certos dados de clientes" incluíam informações sobre aproximadamente 1.900 usuários do aplicativo de mensagens seguras Signal, que dependia da Twilio para fornecer serviços de verificação de número de telefone. Em sua divulgação sobre o incidente, a Signal disse que com seu acesso às ferramentas internas da Twilio, os atacantes puderam registrar novamente os números de telefone desses usuários em outro dispositivo.
Em 25 de agosto, o serviço de entrega de comida DoorDash divulgou que um "ataque de phishing sofisticado" a um fornecedor terceirizado permitiu que os atacantes obtivessem acesso a algumas das ferramentas internas da DoorDash. A DoorDash disse que os intrusos roubaram informações sobre uma "pequena porcentagem" de usuários que foram notificados desde então. O TechCrunch relatou na semana passada que o incidente estava ligado à mesma campanha de phishing que visou a Twilio.
Essa gangue de phishing aparentemente teve grande sucesso visando funcionários de todos os principais provedores de telefonia móvel, mas especialmente a T-Mobile. Entre 10 e 16 de julho, dezenas de funcionários da T-Mobile caíram nas mensagens de phishing e forneceram suas credenciais de acesso remoto. "O roubo de credenciais continua sendo um problema em nossa indústria, pois os provedores de telefonia móvel estão constantemente lutando contra maus atores que se concentram em encontrar novas maneiras de buscar atividades ilegais como essa", disse a T-Mobile em um comunicado. "Nossas ferramentas e equipes funcionaram como projetado para identificar e responder rapidamente a este ataque de smishing em larga escala no início deste ano que visou muitas empresas. Continuamos a trabalhar para prevenir esses tipos de ataques e continuaremos a evoluir e melhorar nossa abordagem."
Este mesmo grupo viu centenas de respostas de funcionários de algumas das maiores empresas de suporte ao cliente e recrutamento, incluindo Teleperformanceusa.com, Sitel.com e Sykes.com. A Teleperformance não respondeu aos pedidos de comentários. KrebsOnSecurity ouviu de Christopher Knauer, diretor global de segurança da Sitel Group, a gigante de suporte ao cliente que recentemente adquiriu a Sykes. Knauer disse que os ataques exploraram domínios recém-registrados e pediram aos funcionários que aprovassem as próximas mudanças em suas escalas de trabalho.
Knauer disse que os atacantes configuraram os domínios de phishing apenas minutos antes de enviar links para esses domínios em alertas SMS falsos para os funcionários visados. Ele disse que tais táticas contornam em grande parte os alertas automatizados gerados por empresas que monitoram nomes de marcas em busca de sinais de registro de novos domínios de phishing. "Eles estavam usando os domínios assim que se tornavam disponíveis", disse Knauer. "Os serviços de alerta geralmente não o informam até 24 horas após o registro de um domínio."
Em 28 de julho e novamente em 7 de agosto, vários funcionários da empresa de entrega de e-mail Mailchimp forneceram suas credenciais de acesso remoto a este grupo de phishing. De acordo com uma postagem de blog de 12 de agosto, os atacantes usaram seu acesso às contas de funcionários da Mailchimp para roubar dados de 214 clientes envolvidos em criptomoedas e finanças. Em 15 de agosto, a empresa de hospedagem DigitalOcean publicou uma postagem de blog dizendo que havia rompido laços com a Mailchimp após sua conta Mailchimp ter sido comprometida. A DigitalOcean disse que o incidente da Mailchimp resultou em uma "porcentagem muito pequena" de clientes da DigitalOcean experimentando tentativas de comprometimento de suas contas através de redefinições de senha.
De acordo com entrevistas com várias empresas atingidas pelo grupo, os atacantes estão principalmente interessados em roubar acesso a criptomoedas e a empresas que gerenciam comunicações com pessoas interessadas em investimentos em criptomoedas. Em uma postagem de blog de 3 de agosto da empresa de marketing por e-mail e SMS Klaviyo.com, o CEO da empresa relatou como os phishers obtiveram acesso às ferramentas internas da empresa e as usaram para baixar informações sobre 38 contas relacionadas a criptomoedas.
A onipresença dos telefones celulares tornou-se uma linha de vida para muitas empresas que tentam gerenciar seus funcionários remotos durante a pandemia de Coronavírus. No entanto, esses mesmos dispositivos móveis estão rapidamente se tornando um passivo para as organizações que os utilizam para formas de autenticação multifator suscetíveis a phishing, como códigos de uso único gerados por um aplicativo móvel ou entregues via SMS. Isso ocorre porque, como podemos ver pelo sucesso deste grupo de phishing, esse tipo de extração de dados agora está sendo massivamente automatizado, e os comprometimentos de autenticação de funcionários podem rapidamente levar a riscos de segurança e privacidade para os parceiros do empregador ou para qualquer pessoa em sua cadeia de suprimentos.
Infelizmente, muitas empresas ainda dependem de SMS para autenticação multifator de funcionários. De acordo com um relatório deste ano da Okta, 47% dos clientes corporativos implementam fatores SMS e de voz para autenticação multifator. Isso caiu de 53% que o fizeram em 2018, descobriu a Okta. Algumas empresas (como a Sitel de Knauer) passaram a exigir que todo o acesso remoto às redes internas seja gerenciado através de laptops e/ou dispositivos móveis emitidos pela empresa, que são carregados com perfis personalizados que não podem ser acessados por outros dispositivos.
Outras estão se afastando de SMS e aplicativos de códigos de uso único em direção a exigir que os funcionários usem dispositivos físicos de autenticação multifator FIDO, como chaves de segurança, que podem neutralizar ataques de phishing porque quaisquer credenciais roubadas não podem ser usadas, a menos que os phishers também tenham acesso físico à chave de segurança ou dispositivo móvel do usuário. Isso foi útil para a Twitter, que anunciou no ano passado que estava migrando todos os seus funcionários para o uso de chaves de segurança e/ou autenticação biométrica através de seus dispositivos móveis. O bot do Telegram dos phishers relatou que em 16 de junho de 2022, cinco funcionários da Twitter entregaram suas credenciais de trabalho. Em resposta a perguntas do KrebsOnSecurity, a Twitter confirmou que vários funcionários foram despojados de seus nomes de usuário e senhas de funcionários, mas que seu requisito de chave de segurança impediu os phishers de abusar dessas informações.
A Twitter acelerou seus planos para melhorar a autenticação de funcionários após o incidente de segurança de julho de 2020, no qual vários funcionários foram phished e despojados de credenciais para as ferramentas internas da Twitter. Nessa intrusão, os atacantes usaram as ferramentas da Twitter para sequestrar contas de algumas das figuras públicas, executivos e celebridades mais reconhecíveis do mundo — forçando essas contas a tuitar links para golpes de bitcoin. "Chaves de segurança podem diferenciar sites legítimos de maliciosos e bloquear tentativas de phishing que o 2FA por SMS ou códigos de verificação de senha de uso único (OTP) não conseguiriam", disse a Twitter em uma postagem de outubro de 2021 sobre a mudança. "Para implementar chaves de segurança internamente na Twitter, migramos de uma variedade de métodos de 2FA suscetíveis a phishing para usar chaves de segurança como nosso único método de 2FA suportado em sistemas internos."
Atualização, 18:02 ET: Esclarecido que a Cloudflare não depende de TOTP (códigos de autenticação multifator de uso único) como segundo fator para autenticação de funcionários.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Phishers estão obtendo sucesso notável ao usar mensagens de texto para roubar credenciais de acesso remoto e senhas de uso único (OTPs) de funcionários em algumas das maiores empresas de tecnologia e firmas de suporte ao cliente do mundo. Uma recente onda de ataques de SMS phishing, orquestrada por um grupo de cibercriminosos, gerou uma enxurrada de divulgações de violações de dados por parte das empresas afetadas, todas lutando para combater a mesma ameaça de segurança persistente: a capacidade dos golpistas de interagir diretamente com os funcionários através de seus dispositivos móveis.
Em meados de junho de 2022, um grande volume de mensagens de SMS phishing começou a visar funcionários de empresas de recrutamento comercial que fornecem suporte ao cliente e terceirização para milhares de companhias. As mensagens solicitavam que os usuários clicassem em um link e fizessem login em uma página de phishing que imitava a página de autenticação Okta de seus empregadores. Aqueles que submetiam suas credenciais eram então solicitados a fornecer a senha de uso único necessária para a autenticação multifator (MFA).
Os phishers por trás desse esquema utilizaram domínios recém-registrados que frequentemente incluíam o nome da empresa-alvo e enviaram mensagens de texto instando os funcionários a clicar em links para esses domínios para visualizar informações sobre uma mudança pendente em sua escala de trabalho. Os sites de phishing exploravam um bot de mensagens instantâneas do Telegram para encaminhar quaisquer credenciais submetidas em tempo real, permitindo que os atacantes usassem o nome de usuário, senha e código de uso único roubados para fazer login como aquele funcionário no site real do empregador. No entanto, devido à forma como o bot foi configurado, foi possível para pesquisadores de segurança capturar as informações que estavam sendo enviadas pelas vítimas para o servidor público do Telegram.
Esse repositório de dados foi primeiramente relatado por pesquisadores de segurança da Group-IB, sediada em Singapura, que apelidou a campanha de "0ktapus" devido aos atacantes que visavam organizações que utilizam ferramentas de gerenciamento de identidade da Okta.com. "Este caso é de interesse porque, apesar de usar métodos de baixa habilidade, ele conseguiu comprometer um grande número de organizações bem conhecidas", escreveu a Group-IB. "Além disso, uma vez que os atacantes comprometiam uma organização, eles eram rapidamente capazes de pivotar e lançar ataques subsequentes na cadeia de suprimentos, indicando que o ataque foi planejado cuidadosamente com antecedência."
Não está claro quantas dessas mensagens de texto de phishing foram enviadas, mas os dados do bot do Telegram revisados pelo KrebsOnSecurity mostram que elas geraram quase 10.000 respostas ao longo de aproximadamente dois meses de ataques esporádicos de SMS phishing visando mais de cem empresas. Muitas respostas vieram daqueles que aparentemente estavam cientes do esquema, como evidenciado pelas centenas de respostas hostis que incluíam palavrões ou insultos direcionados aos phishers: a primeira resposta registrada nos dados do bot do Telegram veio de um desses funcionários, que respondeu com o nome de usuário "havefuninjail".
Mesmo assim, milhares responderam com o que parecem ser credenciais legítimas — muitas delas incluindo códigos de uso único necessários para autenticação multifator. Em 20 de julho, os atacantes voltaram seus olhares para a gigante de infraestrutura de internet Cloudflare.com, e as credenciais interceptadas mostram que pelo menos três funcionários caíram no golpe. Em uma postagem de blog no início deste mês, a Cloudflare disse que detectou os comprometimentos de conta e que nenhum sistema da Cloudflare foi comprometido. A Cloudflare afirmou que não depende de senhas de uso único como segundo fator, portanto, não havia nada a fornecer aos atacantes. No entanto, a Cloudflare disse que queria chamar a atenção para os ataques de phishing porque eles provavelmente funcionariam contra a maioria das outras empresas.
"Este foi um ataque sofisticado visando funcionários e sistemas de uma forma que acreditamos que a maioria das organizações seria provavelmente violada", escreveu o CEO da Cloudflare, Matthew Prince. "Em 20 de julho de 2022, a equipe de segurança da Cloudflare recebeu relatos de funcionários recebendo mensagens de texto com aparência legítima apontando para o que parecia ser uma página de login Okta da Cloudflare. As mensagens começaram às 22:50 UTC de 20/07/2022. Ao longo de menos de 1 minuto, pelo menos 76 funcionários receberam mensagens de texto em seus telefones pessoais e de trabalho. Algumas mensagens também foram enviadas para membros da família dos funcionários."
Em três ocasiões separadas, os phishers visaram funcionários da Twilio.com, uma empresa sediada em São Francisco que fornece serviços para fazer e receber mensagens de texto e chamadas telefônicas. Não está claro quantos funcionários da Twilio receberam os SMS phishes, mas os dados sugerem que pelo menos quatro funcionários da Twilio responderam a uma série de tentativas de SMS phishing em 27 de julho, 2 de agosto e 7 de agosto. Nesta última data, a Twilio divulgou que em 4 de agosto tomou conhecimento de acesso não autorizado a informações relacionadas a um número limitado de contas de clientes da Twilio através de um sofisticado ataque de engenharia social projetado para roubar credenciais de funcionários.
"Este ataque generalizado contra nossa base de funcionários conseguiu enganar alguns funcionários a fornecer suas credenciais", disse a Twilio. "Os atacantes então usaram as credenciais roubadas para obter acesso a alguns de nossos sistemas internos, onde puderam acessar certos dados de clientes." Esses "certos dados de clientes" incluíam informações sobre aproximadamente 1.900 usuários do aplicativo de mensagens seguras Signal, que dependia da Twilio para fornecer serviços de verificação de número de telefone. Em sua divulgação sobre o incidente, a Signal disse que com seu acesso às ferramentas internas da Twilio, os atacantes puderam registrar novamente os números de telefone desses usuários em outro dispositivo.
Em 25 de agosto, o serviço de entrega de comida DoorDash divulgou que um "ataque de phishing sofisticado" a um fornecedor terceirizado permitiu que os atacantes obtivessem acesso a algumas das ferramentas internas da DoorDash. A DoorDash disse que os intrusos roubaram informações sobre uma "pequena porcentagem" de usuários que foram notificados desde então. O TechCrunch relatou na semana passada que o incidente estava ligado à mesma campanha de phishing que visou a Twilio.
Essa gangue de phishing aparentemente teve grande sucesso visando funcionários de todos os principais provedores de telefonia móvel, mas especialmente a T-Mobile. Entre 10 e 16 de julho, dezenas de funcionários da T-Mobile caíram nas mensagens de phishing e forneceram suas credenciais de acesso remoto. "O roubo de credenciais continua sendo um problema em nossa indústria, pois os provedores de telefonia móvel estão constantemente lutando contra maus atores que se concentram em encontrar novas maneiras de buscar atividades ilegais como essa", disse a T-Mobile em um comunicado. "Nossas ferramentas e equipes funcionaram como projetado para identificar e responder rapidamente a este ataque de smishing em larga escala no início deste ano que visou muitas empresas. Continuamos a trabalhar para prevenir esses tipos de ataques e continuaremos a evoluir e melhorar nossa abordagem."
Este mesmo grupo viu centenas de respostas de funcionários de algumas das maiores empresas de suporte ao cliente e recrutamento, incluindo Teleperformanceusa.com, Sitel.com e Sykes.com. A Teleperformance não respondeu aos pedidos de comentários. KrebsOnSecurity ouviu de Christopher Knauer, diretor global de segurança da Sitel Group, a gigante de suporte ao cliente que recentemente adquiriu a Sykes. Knauer disse que os ataques exploraram domínios recém-registrados e pediram aos funcionários que aprovassem as próximas mudanças em suas escalas de trabalho.
Knauer disse que os atacantes configuraram os domínios de phishing apenas minutos antes de enviar links para esses domínios em alertas SMS falsos para os funcionários visados. Ele disse que tais táticas contornam em grande parte os alertas automatizados gerados por empresas que monitoram nomes de marcas em busca de sinais de registro de novos domínios de phishing. "Eles estavam usando os domínios assim que se tornavam disponíveis", disse Knauer. "Os serviços de alerta geralmente não o informam até 24 horas após o registro de um domínio."
Em 28 de julho e novamente em 7 de agosto, vários funcionários da empresa de entrega de e-mail Mailchimp forneceram suas credenciais de acesso remoto a este grupo de phishing. De acordo com uma postagem de blog de 12 de agosto, os atacantes usaram seu acesso às contas de funcionários da Mailchimp para roubar dados de 214 clientes envolvidos em criptomoedas e finanças. Em 15 de agosto, a empresa de hospedagem DigitalOcean publicou uma postagem de blog dizendo que havia rompido laços com a Mailchimp após sua conta Mailchimp ter sido comprometida. A DigitalOcean disse que o incidente da Mailchimp resultou em uma "porcentagem muito pequena" de clientes da DigitalOcean experimentando tentativas de comprometimento de suas contas através de redefinições de senha.
De acordo com entrevistas com várias empresas atingidas pelo grupo, os atacantes estão principalmente interessados em roubar acesso a criptomoedas e a empresas que gerenciam comunicações com pessoas interessadas em investimentos em criptomoedas. Em uma postagem de blog de 3 de agosto da empresa de marketing por e-mail e SMS Klaviyo.com, o CEO da empresa relatou como os phishers obtiveram acesso às ferramentas internas da empresa e as usaram para baixar informações sobre 38 contas relacionadas a criptomoedas.
A onipresença dos telefones celulares tornou-se uma linha de vida para muitas empresas que tentam gerenciar seus funcionários remotos durante a pandemia de Coronavírus. No entanto, esses mesmos dispositivos móveis estão rapidamente se tornando um passivo para as organizações que os utilizam para formas de autenticação multifator suscetíveis a phishing, como códigos de uso único gerados por um aplicativo móvel ou entregues via SMS. Isso ocorre porque, como podemos ver pelo sucesso deste grupo de phishing, esse tipo de extração de dados agora está sendo massivamente automatizado, e os comprometimentos de autenticação de funcionários podem rapidamente levar a riscos de segurança e privacidade para os parceiros do empregador ou para qualquer pessoa em sua cadeia de suprimentos.
Infelizmente, muitas empresas ainda dependem de SMS para autenticação multifator de funcionários. De acordo com um relatório deste ano da Okta, 47% dos clientes corporativos implementam fatores SMS e de voz para autenticação multifator. Isso caiu de 53% que o fizeram em 2018, descobriu a Okta. Algumas empresas (como a Sitel de Knauer) passaram a exigir que todo o acesso remoto às redes internas seja gerenciado através de laptops e/ou dispositivos móveis emitidos pela empresa, que são carregados com perfis personalizados que não podem ser acessados por outros dispositivos.
Outras estão se afastando de SMS e aplicativos de códigos de uso único em direção a exigir que os funcionários usem dispositivos físicos de autenticação multifator FIDO, como chaves de segurança, que podem neutralizar ataques de phishing porque quaisquer credenciais roubadas não podem ser usadas, a menos que os phishers também tenham acesso físico à chave de segurança ou dispositivo móvel do usuário. Isso foi útil para a Twitter, que anunciou no ano passado que estava migrando todos os seus funcionários para o uso de chaves de segurança e/ou autenticação biométrica através de seus dispositivos móveis. O bot do Telegram dos phishers relatou que em 16 de junho de 2022, cinco funcionários da Twitter entregaram suas credenciais de trabalho. Em resposta a perguntas do KrebsOnSecurity, a Twitter confirmou que vários funcionários foram despojados de seus nomes de usuário e senhas de funcionários, mas que seu requisito de chave de segurança impediu os phishers de abusar dessas informações.
A Twitter acelerou seus planos para melhorar a autenticação de funcionários após o incidente de segurança de julho de 2020, no qual vários funcionários foram phished e despojados de credenciais para as ferramentas internas da Twitter. Nessa intrusão, os atacantes usaram as ferramentas da Twitter para sequestrar contas de algumas das figuras públicas, executivos e celebridades mais reconhecíveis do mundo — forçando essas contas a tuitar links para golpes de bitcoin. "Chaves de segurança podem diferenciar sites legítimos de maliciosos e bloquear tentativas de phishing que o 2FA por SMS ou códigos de verificação de senha de uso único (OTP) não conseguiriam", disse a Twitter em uma postagem de outubro de 2021 sobre a mudança. "Para implementar chaves de segurança internamente na Twitter, migramos de uma variedade de métodos de 2FA suscetíveis a phishing para usar chaves de segurança como nosso único método de 2FA suportado em sistemas internos."
Atualização, 18:02 ET: Esclarecido que a Cloudflare não depende de TOTP (códigos de autenticação multifator de uso único) como segundo fator para autenticação de funcionários.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
