Cloudflare هدف یک حمله فیشینگ پیچیده بود. اینجاست که چرا کار نکرد

Cloudflare همچنین می‌گوید که این حادثه نشان می‌دهد که استفاده از کلیدهای فیزیکی چقدر برای ایمن کردن افراد و شبکه‌ها مؤثر است، زیرا علیرغم اینکه مهاجمان با موفقیت به اعتبارنامه‌های ورود قانونی دسترسی پیدا کردند، فقدان کلید به این معنی بود که نمی‌توانستند از آن سوء استفاده کنند. Cloudflare می‌گوید: «از زمان انتشار کلیدهای سخت، هیچ حمله فیشینگ موفقی ندیده‌ایم.

این بدان معناست که حتی با نام کاربری و رمز عبور صحیح، مهاجمان نمی توانند به حساب ها دسترسی داشته باشند و هیچ سیستمی به خطر نیفتد.

ناشناخته است که مهاجم چگونه شماره تلفن ها را به دست آورده است، اما پیام ها – که همه آنها در عرض یک دقیقه ارسال شده اند – ادعا می کنند که “برنامه Cloudflare شما به روز شده است” و اهداف را هدایت می کند تا روی یک مقام رسمی کلیک کنند. دامنه Okta برای Cloudflare که از هر کسی که از آن بازدید می کند می خواهد نام کاربری و رمز عبور خود را وارد کند. اگر شخصی که روی لینک کلیک کرده بود این کار را انجام می داد، نام کاربری و رمز عبور خود را به مهاجمان می داد.

در حالی که حمله فیشینگ با موفقیت از ایجاد آسیب متوقف شد، Cloudflare می‌گوید هنوز درس‌هایی وجود دارد که می‌توان از این حادثه آموخت، از جمله اینکه چگونه «داشتن یک فرهنگ پارانوئید اما عاری از سرزنش برای امنیت حیاتی است».

این حادثه در 20 ژوئیه زمانی آغاز شد که حداقل 76 کارمند Cloudflare پیام‌های فیشینگ را به تلفن‌های محل کار یا شخصی خود دریافت کردند که شبیه پیام‌هایی بود که به صفحه ورود به سیستم Okta Cloudflare اشاره می‌کردند. به طور عجیبی، برخی از پیام های فیشینگ برای اعضای خانواده برخی از کارمندان نیز ارسال شده است.

دیدن: یک استراتژی برنده برای امنیت سایبری (گزارش ویژه ZDNet)

به گفته محققان امنیت سایبری در Cloudflare که این حمله را تجزیه و تحلیل کردند، این یک حمله پیچیده بود که کارکنان و سیستم‌ها را هدف قرار می‌داد «به گونه‌ای که ما معتقدیم بیشتر سازمان‌ها احتمالاً مورد نفوذ قرار می‌گیرند».

محققان پیشنهاد می‌کنند که کسانی که در پشت این کمپین هستند همچنان می‌توانند در آنجا حضور داشته باشند و سعی کنند دیگران را هدف قرار دهند – و Cloudflare امیدوار است که با به اشتراک گذاشتن آنچه اتفاق افتاده است، به سایر قربانیان کمک کند از حملات در امان بمانند.

اطلاعات بیشتر در مورد امنیت سایبری


منبع: https://www.zdnet.com/article/cloudflare-was-the-target-of-a-sophisticated-phishing-attack-heres-why-it-didnt-work/#ftag=RSSbaffb68

بر اساس گزارش Cloudflare، سه کارمندی که پیام فیشینگ را دریافت کرده‌اند، دچار آن شدند و اعتبار خود را وارد کردند. با این حال، به دلیل الزام Cloudflare به کارکنان برای استفاده از کلید سخت افزاری هنگام ورود به سیستم، مهاجمان نمی توانند با جزئیات ورود به سرقت رفته کاری انجام دهند.

دیدن: این هکرهای باج افزار زمانی که به احراز هویت چند عاملی دست زدند، دست از کار کشیدند

گیتی-دو نفر-در-یک-دفتر-به-کامپیوتر نگاه می کنند

تصویر: Getty/gilaxia

پس از شناسایی حمله پس از گزارش توسط کارکنان دریافت پیام های مشکوک، Cloudflare دامنه فیشینگ را مسدود کرد تا از دسترسی کارمندان به آن جلوگیری کند.

“همه ما انسان هستیم و اشتباه می کنیم. بسیار مهم است که وقتی این کار را انجام می دهیم، آنها را گزارش کنیم و آنها را پنهان نکنیم. این حادثه مثال دیگری از اینکه چرا امنیت بخشی از وظایف هر یک از اعضای تیم در Cloudflare است را ارائه داد.” شرکت گفت.

Cloudflare دارد جزئیات آنچه را به عنوان “حمله فیشینگ هدفمند” توصیف می کند در برابر کارکنان خود که از آسیب رساندن به آنها جلوگیری شد زیرا همه کارکنان ملزم به استفاده از احراز هویت چند عاملی (MFA) در قالب کلیدهای امنیتی فیزیکی برای دسترسی به برنامه ها هستند.

Cloudflare جزئیات اتفاقات رخ داده را شرح داده است، زیرا آنها معتقدند که مجرم هنوز وجود دارد و چندین سازمان را هدف قرار می دهد.

این شرکت همچنین کارکنانی را که پیامک های فیشینگ را دریافت کرده بودند شناسایی کرد و لینک را دنبال کرد تا اعتبار آنها را وارد کند. این کارمندان برای جلوگیری از هرگونه دسترسی غیرمجاز، رمز عبور خود را بازنشانی کردند و از هر جلسه فعال خارج شدند.

همچنین یک عنصر اضافی از پیام های فیشینگ برای دانلود نرم افزار دسترسی از راه دور بر روی دستگاه قربانی طراحی شده بود که به مهاجم اجازه می داد آن را از راه دور کنترل کند. با این حال، Cloudflare می گوید که هیچ یک از قربانیان شرکت به این مرحله نرسیده اند و سیستم های امنیتی نقطه پایانی آنها از نصب نرم افزارهای غیرمجاز جلوگیری می کند.

Cloudflare همچنین به سرعت دامنه مورد استفاده در حملات فیشینگ را حذف کرد – کمتر از یک ساعت قبل از شروع کمپین راه اندازی شد. این شرکت همچنین از این حادثه برای ترکیب مکانیسم‌های تشخیص اضافی در دفاع خود برای کمک به شناسایی کمپین‌های آتی توسط همان مهاجمان استفاده کرده است – این اطلاعات همچنین با سازمان‌های دیگری که هدف قرار گرفته‌اند به اشتراک گذاشته شده است.