近期,网络攻击事件频频发生。据leeping Computer网站消息:云通讯巨头Twilio表示,有攻击者利用“短信网络钓鱼”攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。
员工收到的钓鱼短信
通过调查发现,攻击者把自己伪装成公司内部的IT人员,并用此身份来向员工发送钓鱼短信。其中短信内容就是表示他们的系统密码已过期,需要通过短信中的URL进行修改。之后有多少人点了该软件、多少客户数据受到泄露影响,目前尚未得知。
经过一系列的研究发现:该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面,从而导致大范围的数据泄露。
随后,Coudflare在官方博客上发布:Coudflare的员工在twilio受到攻击时也遭受到了非常相似的攻击,至少有76名员工的个人或工作手机收到了钓鱼短信,一些短信也发给了员工的家人。
虽还无法确定攻击者是以何种方式收集到了员工手机号码,但得益于Cloudflare采用了符合FIDO2标准的安全密钥,即使攻击者拿到了员工账户,在尝试登陆时均被成功阻止。
Cloudflare也透露,钓鱼短信提供了一个域名为cloudflare-okta.com的克隆登录页面,在该页面上输入凭证后,AnyDesk远程访问软件会自动下载到计算机上,从而允许攻击者远程控制其设备。该域名是通过Porkbun注册,和Twilio攻击中出现的钓鱼登录页面的域名系同一家注册商。
发送给 Cloudflare 员工的网络钓鱼短信
“Twilio”和“Cloudflare”究竟是一家什么公司呢?为何会产生这么大的影响力?
其实,Twilio是美国知名的云通讯公司。堪称“云通讯行业的领头羊”,在17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。
而Cloudflare是一家美国的跨国科技企业向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容分发网络、任播技术 、基于nginx+lua架构的Web应用防火墙及分布式域名解析服务等技术,可以帮助受保护站点抵御包括分布式拒绝服务攻击在内的大多数网络攻击,确保该网站长期在线,同时提升网站的性能、访问速度以改善访客体验。
因此,这两家公司的影响力是非常大的,如果数据遭受严重泄露,将导致全球大部分用户信息得不到保障。
那么问题来了,什么短信网络钓鱼?
短信网络钓鱼是一个恶意的程序,主要是通过用一个足够引人注目的事由,在内容上附上链接,诱导你点进链接,专门窃取一系列的数据信息。进入后,会弹出各种窗口,让你填写姓名、身份证号码、手机号码、银行卡号码、手机验证码等相关信息,一按照要求进行操作,银行卡上的钱将立即被盗。这类短信统称为“钓鱼短信”。
普通人该如何防范呢?
一看短信是否真实。
以银行名义欺诈短信会降低消费者的警惕性。要注意辨别真假,尤其不能盲目相信异常号码发送的短信。如果消费者不确定短信是否真实,可以咨询银行营业网点或其官方客服。
二看网站链接和页面是否为官方渠道。
诈骗短信提供的网页链接可能是假冒手机银行或网上银行网页的钓鱼链接,也可能是木马病毒,不能轻易点击操作。建议用户在登录手机银行或个人网上银行时,尽可能不要点击第三方平台所提供的网站链接操作,以防被不法分子诈骗。
三看对方索要信息是否为个人重要敏感信息。
当第三方要求提供或输入上述信息时,消费者的身份证号码、银行卡号码、账户密码、短信验证码、付款码等都是重要而敏感的个人信息。不要轻易向他人提供重要的敏感信息,不要点击未知的网站链接,不要在除银行官方渠道外的网页上随意填写重要的敏感信息。如发现自己上当受骗,请立即联系银行冻结银行账户,保存证据,及时报警。
