Cloudflare员工遭网络钓鱼攻击,导致系统账号被盗
据外媒报道,8月9日,云服务提供商Cloudflare的一些员工遭到网络钓鱼短信攻击,导致系统账户凭证被盗,这手法和上周 Twilio批露的遭遇相似。尽管攻击者掌握了Cloudflare 员工的账户,但是他们未能攻破其系统,因为他们无法访问受害者公司颁发的符合 FIDO2 标准的安全密钥。
事件详情
据Cloudflare的说法,大约在 Twilio 遭到攻击的同时,具有非常相似特征的攻击也针对 Cloudflare 的员工。据统计至少有76 名员工的个人或工作手机号码收到了钓鱼短信,一些短信也发送给了员工的家人。目前尚不清楚攻击者如何收集到员工的手机号码,但是得益于Cloudflare采用了符合 FIDO2 标准的安全密钥,即使攻击者拿到了员工账户,在尝试登陆时均被成功阻止。
正如 Cloudflare 还透露的那样,在网络钓鱼页面上输入他们的凭据后,AnyDesk 远程访问软件会自动下载到他们的计算机上,以允许威胁参与者远程控制他们的计算机(如果已安装)。从 T-Mobile 电话号码发送给 76 名员工及其家人的网络钓鱼消息将目标重定向到托管在 cloudflare-okta[.]com 域上的 Cloudflare Okta 登录页面克隆。
发送给 Cloudflare 员工的 SMS 网络钓鱼消息 (Cloudflare)该域是通过 Porkbun 域注册商注册的,该注册商还用于注册用于托管 Twilio 攻击中出现的登录页面的 Web 域。
Cloudflare公司针对此次攻击采取了多项措施:
使用 Cloudflare Gateway 阻止网络钓鱼页面
识别所有受影响的 Cloudflare 员工并重置受损凭据
识别并拆除威胁参与者基础设施
更新检测以识别任何后续攻击尝试
审核服务访问日志以获取任何其他攻击迹象
Twilio虽然与运营商合作阻止恶意消息,并与注册商、托管服务提供商合作关闭恶意 URL,Twilio仍未能成功抵御网络钓鱼攻击,威胁行为者仍继续通过运营商和托管服务提供商轮换以恢复他们的攻击。与Twilio不同的是,Cloudflare凭借有效的防御手段能够成功抵御网络钓鱼攻击,可见采取有效的安全防护措施是必要的。
什么是网络钓鱼攻击?
网络钓鱼攻击是比较常见的欺诈式攻击,攻击发起者通常会伪装成真实的人、系统或者企业,通过电子邮件或其他通信渠道,使用网络钓鱼电子邮件分发可执行各种功能的恶意链接或附件,从受害者中提取登录凭据或帐户信息,或者自动下载恶意软件,让受害者使用恶意软件感染自己的计算机,并以获取用户的敏感数据作为目标。
近年来,网络钓鱼攻击事件正在激增,新的网络钓鱼诈骗正在不断发展。只有不断掌握新的网络钓鱼技术,提高自我警惕,加强个人信息安全意识。同时,还要学会各种防范措施,这样才能避免陷入网络钓鱼攻击陷阱。
