Những kẻ tấn công đã sử dụng quyền truy cập đó để lặp lại hành động tấn công những tài khoản trên các dịch vụ khác.
Dịch vụ nhắn tin Signal đã cảnh báo người dùng rằng việc xâm phạm Twilio sẽ cho phép kẻ tấn công đánh cắp được 1.900 tài khoản Signal và xác nhận rằng chúng có thể đăng ký thiết bị bổ sung vào tài khoản, điều này sẽ cho phép chúng gửi và nhận tin nhắn từ tài khoản đó.
Sau đó, Twilio cũng đã cập nhật thông báo bị vi phạm của công ty, lưu ý rằng 163 khách hàng đã bị truy cập dữ liệu trái phép. Ngoài ra còn có 93 người dùng Authy, dịch vụ đám mây của Twilio dùng để xác thực đa yếu tố bị truy cập tài khoản và đăng ký các thiết bị bổ sung.
Các nạn nhân của chiến dịch lừa đảo đã nhận được tin nhắn văn bản chuyển hướng đến một trang web lừa đảo. Như báo cáo từ Group-IB (công ty an ninh mạng Nga) cho biết: “Theo nạn nhân, trang web lừa đảo này trông khá thuyết phục vì nó rất giống với trang xác thực mà họ thường thấy”. Nạn nhân được yêu cầu cung cấp tên người dùng, mật khẩu và mã xác thực hai yếu tố.
Quy mô của cuộc tấn công là rất lớn, Group-IB đã phát hiện ra 169 tên miền cụ thể mà chiến dịch nhắm mục tiêu. Các chuyên gia cho rằng chiến dịch 0ktapus được bắt đầu vào khoảng tháng 3/2022 và cho đến nay, khoảng 9.931 thông tin đăng nhập đã bị đánh cắp. Những kẻ tấn công đã mở rộng mạng lưới, nhắm mục tiêu vào nhiều ngành, bao gồm tài chính, trò chơi và viễn thông. Các tên miền được Group-IB coi là mục tiêu (nhưng chưa xác nhận vi phạm) đều thuộc các công ty lớn như Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games và Epic Games.
Các nhà nghiên cứu cho biết: “Với việc các công ty tài chính xuất hiện trong danh sách bị xâm nhập cho thấy những kẻ tấn công cũng đang cố gắng đánh cắp tiền. Hơn nữa, một số công ty nằm trong tầm ngắm đang cung cấp quyền truy cập vào tài sản và thị trường tiền điện tử, trong khi những công ty khác phát triển các công cụ đầu tư”.
Group-IB cảnh báo rằng, hiện chưa thể xác định quy mô tấn công của 0ktapus sẽ còn lớn đến mức nào, nên để đề phòng các cuộc tấn công tương tự, người dùng luôn phải kiểm tra kĩ URL của bất kỳ trang web nào khi được yêu cầu điền thông tin đăng nhập; xử lý các URL nhận được từ các nguồn không xác định.
Để tăng cường bảo vệ, có thể sử dụng khóa bảo mật hai yếu tố dạng “unphishable - không thể xâm nhập”, chẳng hạn như YubiKey.
Theo Group-IB, chuỗi các cuộc tấn công lừa đảo gần đây là một trong những chiến dịch mạnh mẽ về quy mô, với báo cáo kết luận rằng “0ktapus cho thấy các tổ chức dễ bị tấn công, dù là chỉ là hình thức tấn công bằng kỹ nghệ xã hội cơ bản”.
Quy mô của những mối đe dọa này cũng không có khả năng giảm trong tương lai gần. Nghiên cứu từ Zscaler cho thấy rằng các cuộc tấn công lừa đảo đã tăng 29% trên toàn cầu so với năm trước và lưu ý rằng lừa đảo qua SMS nói riêng đang tăng nhanh hơn so với các loại lừa đảo khác khi mọi người đã bắt đầu nhận diện được các email có nội dung lừa đảo.