就在云計(jì)算通信平臺Twilio日前傳出�,遭到黑客以短信網(wǎng)絡(luò)釣魚攻擊盜走了員工的登錄憑證之后�,安全企業(yè)Cloudflare也說自己也是黑客的攻擊對象��,而且至少有3名員工被騙���,然而�,由于Cloudflare每名員工都使用公司發(fā)的硬件安全密鑰�,而逃過了一劫。
就在云計(jì)算通信平臺Twilio日前傳出��,遭到黑客以短信網(wǎng)絡(luò)釣魚攻擊盜走了員工的登錄憑證之后��,安全企業(yè)Cloudflare也說自己也是黑客的攻擊對象,而且至少有3名員工被騙��,然而,由于Cloudflare每名員工都使用公司發(fā)的硬件安全密鑰�,而逃過了一劫�。
Cloudflare的安全團(tuán)隊(duì)是在7月20日接獲同事的報(bào)告���,說他們收到一個(gè)似乎是合法的短信��,該短信是以T-Mobile電話號碼發(fā)送,短信上寫著Cloudflare進(jìn)程表已更新�����,請?jiān)L問Cloudflare-Okta.com來查看變更,且在短短的一分鐘之內(nèi)��,就有76名同事收到短信,還有同事的家人也收到短信�����。
圖片來源/Cloudflare
Cloudflare-Okta.com雖然看起來像是真的�����,但它卻是一個(gè)網(wǎng)絡(luò)釣漁網(wǎng)址����,而且是在發(fā)動(dòng)短信網(wǎng)絡(luò)釣魚攻擊的前40分鐘才申請的�。Cloudflare說���,他們原本就打造了安全注冊產(chǎn)品,得以監(jiān)控所有企圖使用該公司品牌的網(wǎng)站���,若是惡意的就舉報(bào)并封鎖它們�,但因?yàn)镃loudflare-Okta.com實(shí)在太新了�,甚至尚未被公開��,而讓該監(jiān)控服務(wù)故障�����。
用戶點(diǎn)擊連接之后就會被跳轉(zhuǎn)至一個(gè)偽造成以O(shè)kta身份識別服務(wù)登錄Cloudflare的網(wǎng)頁���,并被要求輸入賬號及密碼�。
Cloudflare分析了該網(wǎng)絡(luò)釣漁網(wǎng)站��,發(fā)現(xiàn)在用戶輸入賬號及密碼之后��,它會立即將該憑證通過Telegram發(fā)送給黑客��,接著頁面就會再度提醒用戶輸入有時(shí)間限制的一次性密碼(Time-based One Time Password����,TOTP),雖然有3名同事輸入了憑證�����,但Cloudflare員工并未使用TOTP��,而是采用了硬件密鑰��,使得黑客無功而返。
倘若黑客成功借由該網(wǎng)頁通過了多因素認(rèn)證����,除了可取得用戶的登錄憑證之外,該頁面還會下載一個(gè)含有AnyDesk遠(yuǎn)程訪問工具的酬載�,在安裝之后將允許黑客自遠(yuǎn)程控制受害者的設(shè)備。
在發(fā)現(xiàn)黑客針對該公司展開短信網(wǎng)絡(luò)釣魚攻擊之外����,Cloudflare即封鎖了該域名,重設(shè)所有受害員工的憑證�,通知了該域名的注冊商及托管企業(yè),強(qiáng)化對后續(xù)攻擊的偵測���,以及審核服務(wù)訪問日志����。Cloudflare強(qiáng)調(diào)�,該公司于該攻擊中全身而退�����,并無任何系統(tǒng)遭到入侵�。
閩公網(wǎng)安備 35010202001226號
