Cloudflare员工也遭短信网络钓鱼攻击,因采硬件密钥而逃过一劫

就在云计算通信平台Twilio日前传出,遭到黑客以短信网络钓鱼攻击盗走了员工的登录凭证之后,安全企业Cloudflare也说自己也是黑客的攻击对象,而且至少有3名员工被骗,然而,由于Cloudflare每名员工都使用公司发的硬件安全密钥,而逃过了一劫。

Cloudflare的安全团队是在7月20日接获同事的报告,说他们收到一个似乎是合法的短信,该短信是以T-Mobile电话号码发送,短信上写着Cloudflare进程表已更新,请访问Cloudflare-Okta.com来查看变更,且在短短的一分钟之内,就有76名同事收到短信,还有同事的家人也收到短信。

图片来源/Cloudflare

Cloudflare-Okta.com虽然看起来像是真的,但它却是一个网络钓渔网址,而且是在发动短信网络钓鱼攻击的前40分钟才申请的。Cloudflare说,他们原本就打造了安全注册产品,得以监控所有企图使用该公司品牌的网站,若是恶意的就举报并封锁它们,但因为Cloudflare-Okta.com实在太新了,甚至尚未被公开,而让该监控服务故障。

用户点击连接之后就会被跳转至一个伪造成以Okta身份识别服务登录Cloudflare的网页,并被要求输入账号及密码。

Cloudflare分析了该网络钓渔网站,发现在用户输入账号及密码之后,它会立即将该凭证通过Telegram发送给黑客,接着页面就会再度提醒用户输入有时间限制的一次性密码(Time-based One Time Password,TOTP),虽然有3名同事输入了凭证,但Cloudflare员工并未使用TOTP,而是采用了硬件密钥,使得黑客无功而返。

倘若黑客成功借由该网页通过了多因素认证,除了可取得用户的登录凭证之外,该页面还会下载一个含有AnyDesk远程访问工具的酬载,在安装之后将允许黑客自远程控制受害者的设备。

在发现黑客针对该公司展开短信网络钓鱼攻击之外,Cloudflare即封锁了该域名,重设所有受害员工的凭证,通知了该域名的注册商及托管企业,强化对后续攻击的侦测,以及审核服务访问日志。Cloudflare强调,该公司于该攻击中全身而退,并无任何系统遭到入侵。