資安業者Cloudflare表示近期至少有3名員工誤信網釣簡訊要求,而將憑證資料提供給駭客,幸好Cloudflare員工都使用公司發的硬體安全金鑰,而非輸入一次性密碼(TOTP)進行身分驗證,讓駭客無功而返。(圖片來源/Yubico)

就在雲端通訊平臺Twilio日前傳出,遭到駭客以簡訊網釣攻擊盜走了員工的登入憑證之後,資安業者Cloudflare也說自己亦是駭客的攻擊對象,而且至少有3名員工被騙,然而,由於Cloudflare每名員工都使用公司發的硬體安全金鑰,而逃過了一劫。

Cloudflare的安全團隊是在7月20日接獲同事的報告,說他們收到一個似乎是合法的簡訊,該簡訊是以T-Mobile電話號碼寄送,簡訊上寫著Cloudflare時程表已更新,請造訪Cloudflare-Okta.com來檢視變更,且在短短的一分鐘之內,就有76名同事收到簡訊,還有同事的家人也收到簡訊。

圖片來源/Cloudflare

Cloudflare-Okta.com雖然看起來像是真的,但它卻是一個網釣網址,而且是在發動簡訊網釣攻擊的前40分鐘才申請的。Cloudflare說,他們原本就打造了安全註冊產品,得以監控所有企圖使用該公司品牌的網站,若是惡意的就檢舉並封鎖它們,但因為Cloudflare-Okta.com實在太新了,甚至尚未被公開,而讓該監控服務失靈。

使用者點選連結之後就會被導至一個偽造成以Okta身分辨識服務登入Cloudflare的網頁,並被要求輸入帳號及密碼。

Cloudflare分析了該網釣網站,發現在使用者輸入帳號及密碼之後,它會立即將此一憑證透過Telegram傳送給駭客,接著頁面就會再度提醒使用者輸入有時間限制的一次性密碼(Time-based One Time Password,TOTP),雖然有3名同事輸入了憑證,但Cloudflare員工並未使用TOTP,而是採用了硬體金鑰,使得駭客無功而返。

倘若駭客成功藉由該網頁通過了多因素認證,除了可取得使用者的登入憑證之外,該頁面還會下載一個含有AnyDesk遠端存取工具的酬載,在安裝之後將允許駭客自遠端控制受害者的裝置。

在察覺駭客針對該公司展開簡訊網釣攻擊之外,Cloudflare即封鎖了該網域,重設所有受害員工的憑證,通知了該網域的註冊商及代管業者,強化對後續攻擊的偵測,以及稽核服務存取日誌。Cloudflare強調,該公司於此一攻擊中全身而退,並無任何系統遭到入侵。

熱門新聞

Advertisement