Cloudflare員工遭網絡釣魚攻擊,導致系統賬號被盜
據外媒報道,8月9日,云服務提供商Cloudflare的一些員工遭到網絡釣魚短信攻擊,導致系統賬戶憑證被盜,這手法和上周 Twilio批露的遭遇相似。盡管攻擊者掌握了Cloudflare 員工的賬戶,但是他們未能攻破其系統,因為他們無法訪問受害者公司頒發的符合 FIDO2 標準的安全密鑰。
事件詳情
據Cloudflare的說法,大約在 Twilio 遭到攻擊的同時,具有非常相似特征的攻擊也針對 Cloudflare 的員工。據統計至少有76 名員工的個人或工作手機號碼收到了釣魚短信,一些短信也發送給了員工的家人。目前尚不清楚攻擊者如何收集到員工的手機號碼,但是得益于Cloudflare采用了符合 FIDO2 標準的安全密鑰,即使攻擊者拿到了員工賬戶,在嘗試登陸時均被成功阻止。
正如 Cloudflare 還透露的那樣,在網絡釣魚頁面上輸入他們的憑據后,AnyDesk 遠程訪問軟件會自動下載到他們的計算機上,以允許威脅參與者遠程控制他們的計算機(如果已安裝)。從 T-Mobile 電話號碼發送給 76 名員工及其家人的網絡釣魚消息將目標重定向到托管在 cloudflare-okta[.]com 域上的 Cloudflare Okta 登錄頁面克隆。
發送給 Cloudflare 員工的 SMS 網絡釣魚消息 (Cloudflare)該域是通過 Porkbun 域注冊商注冊的,該注冊商還用于注冊用于托管 Twilio 攻擊中出現的登錄頁面的 Web 域。
Cloudflare公司針對此次攻擊采取了多項措施:
使用 Cloudflare Gateway 阻止網絡釣魚頁面
識別所有受影響的 Cloudflare 員工并重置受損憑據
識別并拆除威脅參與者基礎設施
更新檢測以識別任何后續攻擊嘗試
審核服務訪問日志以獲取任何其他攻擊跡象
Twilio雖然與運營商合作阻止惡意消息,并與注冊商、托管服務提供商合作關閉惡意 URL,Twilio仍未能成功抵御網絡釣魚攻擊,威脅行為者仍繼續通過運營商和托管服務提供商輪換以恢復他們的攻擊。與Twilio不同的是,Cloudflare憑借有效的防御手段能夠成功抵御網絡釣魚攻擊,可見采取有效的安全防護措施是必要的。
什么是網絡釣魚攻擊?
網絡釣魚攻擊是比較常見的欺詐式攻擊,攻擊發起者通常會偽裝成真實的人、系統或者企業,通過電子郵件或其他通信渠道,使用網絡釣魚電子郵件分發可執行各種功能的惡意鏈接或附件,從受害者中提取登錄憑據或帳戶信息,或者自動下載惡意軟件,讓受害者使用惡意軟件感染自己的計算機,并以獲取用戶的敏感數據作為目標。
近年來,網絡釣魚攻擊事件正在激增,新的網絡釣魚詐騙正在不斷發展。只有不斷掌握新的網絡釣魚技術,提高自我警惕,加強個人信息安全意識。同時,還要學會各種防范措施,這樣才能避免陷入網絡釣魚攻擊陷阱。
