继Signal之后,另一个被Twilio黑客事件殃及的受害者出面了,专门提供身份认证与访问管理服务的Okta上周指出,黑客盗走了Twilio员工的凭证,用以访问了Okta客户的电话号码,以及通过Twilio服务发送的一次性密码。
Twilio为美国的云计算通信平台,提供工具给客户拨打或接收电话与文本短信,并有各种可执行其它通信功能的API,而Okta则是美国的身份与访问管理企业,协助企业管理用来进入各种应用程序的身份认证。
根据Okta的说法,该公司有各种认证机制供客户选择,包括以短信来传送一次性密码,并借由两家第三方服务来提供短信身份验证服务,Twilio即为其中一家。
而在Twilio员工的凭证遭黑之后,调查发现黑客通过Twilio控制台访问了Okta的客户服务,有小部分Okta用户的电话号码,以及包含一次密码的短信遭到黑客访问。
Okta进一步分析了黑客的足迹与受影响的用户,显示黑客通过Twilio控制台搜索了38组电话,而它们几乎都隶属于同一个组织,意味着这是个极有针对性的攻击。Okta推测,黑客应该事先就通过其它的网络钓鱼活动取得了这些用户的登录凭证,并触发了基于短信的多因素认证,企图借由入侵Twilio系统找到相关的一次性密码。而该一次性密码的有有效期间为5分钟。
其实黑客还有访问其它的Okta用户电话资料,但Okta相信上述才是黑客的目标,其它的资料只是顺道或意外。
Okta还披露了另一件事,指出该以短信网络钓鱼攻击Twilio的黑客集团在最近几个月不断地攻击各多家科技企业,包括Okta在内,且Okta也已将该黑客集团命名为Scatter Swine。
Okta曾多次发现Scatter Swine攻击其它企业,而且Scatter Swine通常会创建多个网络钓渔网站,在几个小时内重复锁定同一个组织发动攻击。
之前Cloudflare也披露曾遭短信网络钓鱼攻击,虽未证实是否为同一集团所为,但Cloudflare因全公司都采用硬件密钥而未被黑客得逞,至于Okta则说该公司是借由强大的认证政策,阻止黑客访问员工账号,并保护了应用程序的访问安全。
根据Okta的分析,Scatter Swine锁定的攻击对象包括科技企业、电信企业,以及与加密货币有关的个人及组织,通常采用接受比特币的网名注册及网站托管服务,看似从商业服务取得各组织的员工资料,再发动短信网络钓鱼攻击,其攻击接口企图访问受害者的用户名、密码与一次性动态密码。
Okta建议企业应采用强大的认证机制,严谨的认证政策,部署可侦测异常用户行为的安全机制,激活Network Zones来封锁陌生网络的访问,或是限制可访问重要应用的设备等。