Cloudflare заявила, что ее чуть не обманула фишинговая атака
10 августа 2022 г.Сотрудники Cloudflare недавно стали жертвами «изощренной» кибератаки, и хотя некоторые попались на эту схему, DDoS защита компании удалось успешно защитить себя.
В сообщении в блоге Cloudflare co. -основатель Мэтью Принс вместе с членами команды Дэниелом Стинсон-Дисс и Суровым Заманом объяснили, как произошла атака и в чем разница между успехом и неудачей.
Актриса угрозы сделала пару ключевых приготовлений заранее атака: они зарегистрировали домен, который выглядел легитимным и обманул бы многих жертв: cloudflare-okta.com. Okta — поставщик удостоверений Cloudflare. Им также удалось каким-то образом получить номера телефонов почти 80 сотрудников Cloudflare, а также членов семей некоторых из них.
Пароли на основе времени и ключи безопасности
После атаки Cloudflare попытались понять, как злоумышленники получили эти телефонные номера, но ничего не нашли, поскольку в журналах доступа к каталогам сотрудников не было обнаружено признаков компрометации.
Затем они создали фишинговую страницу. которая выглядит идентично подлинной странице входа в Okta и размещена на DigitalOcean. Они также настроили страницу таким образом, что представленные учетные данные для входа будут отправлены в режиме реального времени через Telegram злоумышленникам. Таким образом, мошенники смогут сразу отправить их на настоящую страницу входа в Okta, а также у них будет достаточно времени, чтобы получить от жертв любую двухфакторную аутентификацию.
После того, как все приготовления будут завершены. , они разослали всем СМС-сообщение с текстом «Внимание! Расписание Cloudflare обновлено», и предоставил ссылку.
Хотя большинство сотрудников не попались на уловку, некоторые все же попались. Однако дополнительные меры безопасности Cloudflare гарантировали, что злоумышленники никогда не получат доступ к ее системам. Компания не использует одноразовый пароль на основе времени (TOTP), а вместо этого полагается на ключи безопасности, совместимые с FIDO2.
«Поскольку аппаратные ключи привязаны к пользователям и реализуют привязку к источнику, даже такая сложная фишинговая операция в режиме реального времени не может собрать информацию, необходимую для входа в любую из наших систем», — пояснили авторы. «Хотя злоумышленник попытался войти в наши системы со скомпрометированными учетными данными имени пользователя и пароля, он не смог обойти требование жесткого ключа».
Кажется, Cloudflare избежала этой пули, но говорится, что изощренности нападения, многие другие жертвы не могли бы. Те, кто попался на эту уловку, скорее всего, получили программное обеспечение для удаленного доступа AnyDesk, установленное на конечных точках. . «Это программное обеспечение, если оно будет установлено, позволит злоумышленнику удаленно управлять компьютером жертвы», — заключила компания.
Атака произошла вскоре после того, как Twilio также сообщила, что подверглась аналогичной фишинговой атаке, в ходе которой хакеры обманули сотрудники компании выдавали свои учетные данные для входа, которые затем использовались для проникновения в сеть компании, определения конечных точек< /a> и украсть еще больше данных.
.Оригинал