دیدن: این هکرهای باج افزار زمانی که به احراز هویت چند عاملی دست زدند، دست از کار کشیدند
دیدن: یک استراتژی برنده برای امنیت سایبری (گزارش ویژه ZDNet)
بر اساس گزارش Cloudflare، سه کارمندی که پیام فیشینگ را دریافت کردهاند، دچار آن شدند و اعتبار خود را وارد کردند. با این حال، به دلیل الزام Cloudflare به کارکنان برای استفاده از کلید سخت افزاری هنگام ورود به سیستم، مهاجمان نمی توانند با جزئیات ورود به سرقت رفته کاری انجام دهند.
این حادثه در 20 ژوئیه زمانی آغاز شد که حداقل 76 کارمند Cloudflare پیامهای فیشینگ را به تلفنهای محل کار یا شخصی خود دریافت کردند که شبیه پیامهایی بود که به صفحه ورود به سیستم Okta Cloudflare اشاره میکردند. به طور عجیبی، برخی از پیام های فیشینگ برای اعضای خانواده برخی از کارمندان نیز ارسال شده است.
همچنین یک عنصر اضافی از پیام های فیشینگ برای دانلود نرم افزار دسترسی از راه دور بر روی دستگاه قربانی طراحی شده بود که به مهاجم اجازه می داد آن را از راه دور کنترل کند. با این حال، Cloudflare می گوید که هیچ یک از قربانیان شرکت به این مرحله نرسیده اند و سیستم های امنیتی نقطه پایانی آنها از نصب نرم افزارهای غیرمجاز جلوگیری می کند.
ناشناخته است که مهاجم چگونه شماره تلفن ها را به دست آورده است، اما پیام ها – که همه آنها در عرض یک دقیقه ارسال شده اند – ادعا می کنند که “برنامه Cloudflare شما به روز شده است” و اهداف را هدایت می کند تا روی یک مقام رسمی کلیک کنند. دامنه Okta برای Cloudflare که از هر کسی که از آن بازدید می کند می خواهد نام کاربری و رمز عبور خود را وارد کند. اگر شخصی که روی لینک کلیک کرده بود این کار را انجام می داد، نام کاربری و رمز عبور خود را به مهاجمان می داد.
Cloudflare همچنین به سرعت دامنه مورد استفاده در حملات فیشینگ را حذف کرد – کمتر از یک ساعت قبل از شروع کمپین راه اندازی شد. این شرکت همچنین از این حادثه برای ترکیب مکانیسمهای تشخیص اضافی در دفاع خود برای کمک به شناسایی کمپینهای آتی توسط همان مهاجمان استفاده کرده است – این اطلاعات همچنین با سازمانهای دیگری که هدف قرار گرفتهاند به اشتراک گذاشته شده است.
“همه ما انسان هستیم و اشتباه می کنیم. بسیار مهم است که وقتی این کار را انجام می دهیم، آنها را گزارش کنیم و آنها را پنهان نکنیم. این حادثه مثال دیگری از اینکه چرا امنیت بخشی از وظایف هر یک از اعضای تیم در Cloudflare است را ارائه داد.” شرکت گفت.
پس از شناسایی حمله پس از گزارش توسط کارکنان دریافت پیام های مشکوک، Cloudflare دامنه فیشینگ را مسدود کرد تا از دسترسی کارمندان به آن جلوگیری کند.