Twilio Breach 背后的黑客還針對 Cloudflare 員工
網絡基礎設施公司 Cloudflare 周二披露,至少有 76 名員工及其家人在他們的個人和工作手機上收到了與針對 Twilio 的復雜網絡釣魚攻擊具有相似特征的短信。
這次攻擊大約在 Twilio 成為目標的同時發生,來自與 T-Mobile 發行的 SIM 卡相關的四個電話號碼,最終沒有成功。
這些短信指向一個看似合法的域,其中包含關鍵字“Cloudflare”和“Okta”,試圖欺騙員工交出他們的憑據。
該公司指出,在流氓域通過 Porkbun 注冊后不到 40 分鐘就開始了超過 100 條 smishing 消息的浪潮,并補充說網絡釣魚頁面旨在通過 Telegram 將毫無戒心的用戶輸入的憑據實時轉發給攻擊者。
這也意味著攻擊可以擊敗 2FA 障礙,因為在虛假登錄頁面上輸入的基于時間的一次性密碼 ( TOTP ) 代碼以類似的方式傳輸,使攻擊者能夠使用被盜密碼和 TOTP 登錄。
Cloudflare 表示,其三名員工因網絡釣魚計劃而墮落,但指出它能夠通過使用訪問其應用程序所需的符合 FIDO2 的物理安全密鑰來防止其內部系統遭到破壞。
Cloudflare說: “由于硬密鑰與用戶綁定并實施源綁定,因此即使是像這樣復雜的實時網絡釣魚操作也無法收集登錄我們任何系統所需的信息。 ”
“雖然攻擊者試圖使用受損的用戶名和密碼憑據登錄我們的系統,但他們無法通過硬密鑰要求。”
更重要的是,這些攻擊不僅僅停留在竊取憑據和 TOTP 代碼上。如果員工通過登錄步驟,網絡釣魚頁面被設計為自動下載 AnyDesk 的遠程訪問軟件,如果安裝了該軟件,則可以用來控制受害者的系統。
除了與 DigitalOcean 合作關閉攻擊者的服務器外,該公司還表示已重置受影響員工的憑據,并正在加強訪問實施,以防止來自未知 VPN、住宅代理和基礎設施提供商的任何登錄。
幾天前,Twilio 表示,未知黑客成功通過網絡釣魚攻擊了未公開數量員工的憑據,并未經授權訪問了公司的內部系統,并利用它來獲取客戶帳戶。
