Cloudflare員工也遭短信網(wǎng)絡(luò)釣魚(yú)攻擊，因采硬件密鑰而逃過(guò)一劫

就在云計(jì)算通信平臺(tái)Twilio日前傳出，遭到黑客以短信網(wǎng)絡(luò)釣魚(yú)攻擊盜走了員工的登錄憑證之后，安全企業(yè)Cloudflare也說(shuō)自己也是黑客的攻擊對(duì)象，而且至少有3名員工被騙，然而，由于Cloudflare每名員工都使用公司發(fā)的硬件安全密鑰，而逃過(guò)了一劫。

Cloudflare的安全團(tuán)隊(duì)是在7月20日接獲同事的報(bào)告，說(shuō)他們收到一個(gè)似乎是合法的短信，該短信是以T-Mobile電話(huà)號(hào)碼發(fā)送，短信上寫(xiě)著Cloudflare進(jìn)程表已更新，請(qǐng)?jiān)L問(wèn)Cloudflare-Okta.com來(lái)查看變更，且在短短的一分鐘之內(nèi)，就有76名同事收到短信，還有同事的家人也收到短信。

圖片來(lái)源／Cloudflare

Cloudflare-Okta.com雖然看起來(lái)像是真的，但它卻是一個(gè)網(wǎng)絡(luò)釣漁網(wǎng)址，而且是在發(fā)動(dòng)短信網(wǎng)絡(luò)釣魚(yú)攻擊的前40分鐘才申請(qǐng)的。Cloudflare說(shuō)，他們?cè)揪痛蛟炝税踩?cè)產(chǎn)品，得以監(jiān)控所有企圖使用該公司品牌的網(wǎng)站，若是惡意的就舉報(bào)并封鎖它們，但因?yàn)镃loudflare-Okta.com實(shí)在太新了，甚至尚未被公開(kāi)，而讓該監(jiān)控服務(wù)故障。

用戶(hù)點(diǎn)擊連接之后就會(huì)被跳轉(zhuǎn)至一個(gè)偽造成以O(shè)kta身份識(shí)別服務(wù)登錄Cloudflare的網(wǎng)頁(yè)，并被要求輸入賬號(hào)及密碼。

Cloudflare分析了該網(wǎng)絡(luò)釣漁網(wǎng)站，發(fā)現(xiàn)在用戶(hù)輸入賬號(hào)及密碼之后，它會(huì)立即將該憑證通過(guò)Telegram發(fā)送給黑客，接著頁(yè)面就會(huì)再度提醒用戶(hù)輸入有時(shí)間限制的一次性密碼（Time-based One Time Password，TOTP），雖然有3名同事輸入了憑證，但Cloudflare員工并未使用TOTP，而是采用了硬件密鑰，使得黑客無(wú)功而返。

倘若黑客成功借由該網(wǎng)頁(yè)通過(guò)了多因素認(rèn)證，除了可取得用戶(hù)的登錄憑證之外，該頁(yè)面還會(huì)下載一個(gè)含有AnyDesk遠(yuǎn)程訪(fǎng)問(wèn)工具的酬載，在安裝之后將允許黑客自遠(yuǎn)程控制受害者的設(shè)備。

在發(fā)現(xiàn)黑客針對(duì)該公司展開(kāi)短信網(wǎng)絡(luò)釣魚(yú)攻擊之外，Cloudflare即封鎖了該域名，重設(shè)所有受害員工的憑證，通知了該域名的注冊(cè)商及托管企業(yè)，強(qiáng)化對(duì)后續(xù)攻擊的偵測(cè)，以及審核服務(wù)訪(fǎng)問(wèn)日志。Cloudflare強(qiáng)調(diào)，該公司于該攻擊中全身而退，并無(wú)任何系統(tǒng)遭到入侵。