Cloudflare員工也遭簡訊網釣攻擊，因採硬體金鑰而逃過一劫

2022-11-11

就在雲端通訊平臺Twilio日前傳出，遭到駭客以簡訊網釣攻擊盜走了員工的登入憑證之後，資安業者Cloudflare也說自己亦是駭客的攻擊對象，而且至少有3名員工被騙，然而，由於Cloudflare每名員工都使用公司發的硬體安全金鑰，而逃過了一劫。

Cloudflare的安全團隊是在7月20日接獲同事的報告，說他們收到一個似乎是合法的簡訊，該簡訊是以T-Mobile電話號碼寄送，簡訊上寫著Cloudflare時程表已更新，請造訪Cloudflare-Okta.com來檢視變更，且在短短的一分鐘之內，就有76名同事收到簡訊，還有同事的家人也收到簡訊。

Cloudflare-Okta.com雖然看起來像是真的，但它卻是一個網釣網址，而且是在發動簡訊網釣攻擊的前40分鐘才申請的。Cloudflare說，他們原本就打造了安全註冊產品，得以監控所有企圖使用該公司品牌的網站，若是惡意的就檢舉並封鎖它們，但因為Cloudflare-Okta.com實在太新了，甚至尚未被公開，而讓該監控服務失靈。

使用者點選連結之後就會被導至一個偽造成以Okta身分辨識服務登入Cloudflare的網頁，並被要求輸入帳號及密碼。

Cloudflare分析了該網釣網站，發現在使用者輸入帳號及密碼之後，它會立即將此一憑證透過Telegram傳送給駭客，接著頁面就會再度提醒使用者輸入有時間限制的一次性密碼（Time-based One Time Password，TOTP），雖然有3名同事輸入了憑證，但Cloudflare員工並未使用TOTP，而是採用了硬體金鑰，使得駭客無功而返。

倘若駭客成功藉由該網頁通過了多因素認證，除了可取得使用者的登入憑證之外，該頁面還會下載一個含有AnyDesk遠端存取工具的酬載，在安裝之後將允許駭客自遠端控制受害者的裝置。

在察覺駭客針對該公司展開簡訊網釣攻擊之外，Cloudflare即封鎖了該網域，重設所有受害員工的憑證，通知了該網域的註冊商及代管業者，強化對後續攻擊的偵測，以及稽核服務存取日誌。Cloudflare強調，該公司於此一攻擊中全身而退，並無任何系統遭到入侵。

（相關資訊來自iThome）