Cloudflare員工也遭短信網絡釣魚攻擊，因采硬件密鑰而逃過一劫

就在云計算通信平臺Twilio日前傳出，遭到黑客以短信網絡釣魚攻擊盜走了員工的登錄憑證之后，安全企業(yè)Cloudflare也說自己也是黑客的攻擊對象，而且至少有3名員工被騙，然而，由于Cloudflare每名員工都使用公司發(fā)的硬件安全密鑰，而逃過了一劫。

Cloudflare的安全團隊是在7月20日接獲同事的報告，說他們收到一個似乎是合法的短信，該短信是以T-Mobile電話號碼發(fā)送，短信上寫著Cloudflare進程表已更新，請訪問Cloudflare-Okta.com來查看變更，且在短短的一分鐘之內，就有76名同事收到短信，還有同事的家人也收到短信。

圖片來源／Cloudflare

Cloudflare-Okta.com雖然看起來像是真的，但它卻是一個網絡釣漁網址，而且是在發(fā)動短信網絡釣魚攻擊的前40分鐘才申請的。Cloudflare說，他們原本就打造了安全注冊產品，得以監(jiān)控所有企圖使用該公司品牌的網站，若是惡意的就舉報并封鎖它們，但因為Cloudflare-Okta.com實在太新了，甚至尚未被公開，而讓該監(jiān)控服務故障。

用戶點擊連接之后就會被跳轉至一個偽造成以Okta身份識別服務登錄Cloudflare的網頁，并被要求輸入賬號及密碼。

Cloudflare分析了該網絡釣漁網站，發(fā)現(xiàn)在用戶輸入賬號及密碼之后，它會立即將該憑證通過Telegram發(fā)送給黑客，接著頁面就會再度提醒用戶輸入有時間限制的一次性密碼（Time-based One Time Password，TOTP），雖然有3名同事輸入了憑證，但Cloudflare員工并未使用TOTP，而是采用了硬件密鑰，使得黑客無功而返。

倘若黑客成功借由該網頁通過了多因素認證，除了可取得用戶的登錄憑證之外，該頁面還會下載一個含有AnyDesk遠程訪問工具的酬載，在安裝之后將允許黑客自遠程控制受害者的設備。

在發(fā)現(xiàn)黑客針對該公司展開短信網絡釣魚攻擊之外，Cloudflare即封鎖了該域名，重設所有受害員工的憑證，通知了該域名的注冊商及托管企業(yè)，強化對后續(xù)攻擊的偵測，以及審核服務訪問日志。Cloudflare強調，該公司于該攻擊中全身而退，并無任何系統(tǒng)遭到入侵。