Cloudflare هدف یک حمله فیشینگ پیچیده بود. در اینجا دلیل آن کار نکرد

Cloudflare دارد جزئیات آنچه را به عنوان “حمله فیشینگ هدفمند” توصیف می کند در برابر کارکنان خود که از ایجاد خسارت جلوگیری شد زیرا همه کارکنان ملزم به استفاده از آن هستند احراز هویت چند عاملی (MFA) در قالب کلیدهای امنیتی فیزیکی به منظور دسترسی به برنامه ها.

این بدان معنا بود که حتی با نام کاربری و رمز عبور صحیح، مهاجمان نمی توانستند به حساب ها دسترسی داشته باشند و هیچ سیستمی به خطر نیفتد.

به گفته محققان امنیت سایبری در Cloudflare که این حمله را تجزیه و تحلیل کردند، این یک حمله پیچیده بود که کارمندان و سیستم‌ها را هدف قرار می‌داد «به‌گونه‌ای که ما معتقدیم بیشتر سازمان‌ها احتمالاً مورد نفوذ قرار می‌گیرند».

Cloudflare جزئیات آنچه اتفاق افتاده است را توضیح داده است زیرا آنها معتقدند که مجرم هنوز وجود دارد و چندین سازمان را هدف قرار می دهد.

این حادثه در 20 جولای زمانی آغاز شد که حداقل 76 کارمند Cloudflare دریافت کردند فیشینگ پیام‌هایی به تلفن‌های کاری یا شخصی آنها که شبیه پیام‌هایی هستند که به صفحه ورود Okta Cloudflare اشاره می‌کنند. به طور عجیبی، برخی از پیام های فیشینگ برای اعضای خانواده برخی از کارمندان نیز ارسال شده است.

دیدن: یک استراتژی برنده برای امنیت سایبری (گزارش ویژه ZDNet)

ناشناخته است که مهاجم چگونه شماره تلفن ها را به دست آورده است، اما پیام ها – که همه آنها در عرض یک دقیقه ارسال شده اند – ادعا می کنند که “برنامه Cloudflare شما به روز شده است” و اهداف را هدایت می کند تا روی یک مقام رسمی کلیک کنند. دامنه Okta برای Cloudflare که از هر کسی که از آن بازدید می کند می خواهد نام کاربری و رمز عبور خود را وارد کند. اگر شخصی که روی لینک کلیک کرده بود این کار را انجام می داد، نام کاربری و رمز عبور خود را به مهاجمان می داد.

طبق گفته Cloudflare، سه کارمندی که پیام فیشینگ را دریافت کرده بودند، دچار این پیام شدند و اعتبار خود را وارد کردند. با این حال، مهاجمان نتوانستند با جزئیات ورود به سیستم سرقت شده کاری انجام دهند زیرا Cloudflare باید از یک کلید سخت افزاری هنگام ورود به سیستم استفاده کند.

همچنین یک عنصر اضافی از پیام های فیشینگ برای دانلود طراحی شده بود نرم افزار دسترسی از راه دور به دستگاه قربانی، که به مهاجم اجازه می دهد آن را از راه دور کنترل کند. با این حال، Cloudflare می گوید که هیچ یک از قربانیان شرکت به این مرحله نرسیده اند و سیستم های امنیتی نقطه پایانی آنها از نصب نرم افزارهای غیرمجاز جلوگیری می کند.

پس از شناسایی حمله پس از گزارش توسط کارکنان دریافت پیام های مشکوک، Cloudflare دامنه فیشینگ را مسدود کرد تا از دسترسی کارمندان به آن جلوگیری کند.

این شرکت همچنین کارکنانی را که پیامک های فیشینگ را دریافت کرده بودند شناسایی کرد و لینک را برای وارد کردن اعتبار آنها دنبال کرد. این کارمندان برای جلوگیری از هرگونه دسترسی غیرمجاز، رمز عبور خود را بازنشانی کردند و از هر جلسه فعال خارج شدند.

Cloudflare همچنین به سرعت دامنه مورد استفاده در حملات فیشینگ را حذف کرد – کمتر از یک ساعت قبل از شروع کمپین تنظیم شد. این شرکت همچنین از این حادثه برای گنجاندن مکانیسم‌های شناسایی اضافی در دفاع خود برای کمک به شناسایی کمپین‌های آتی توسط همان مهاجمان استفاده کرده است – این اطلاعات همچنین با سازمان‌های دیگری که هدف قرار گرفته‌اند به اشتراک گذاشته شده است.

دیدن: این هکرهای باج افزار زمانی که به احراز هویت چند عاملی دست زدند، دست از کار کشیدند

در حالی که حمله فیشینگ با موفقیت از ایجاد آسیب متوقف شد، Cloudflare می‌گوید هنوز درس‌هایی وجود دارد که می‌توان از این حادثه آموخت، از جمله اینکه چگونه «داشتن یک فرهنگ پارانوئید اما عاری از سرزنش برای امنیت حیاتی است».

“همه ما انسان هستیم و اشتباه می کنیم. بسیار مهم است که وقتی این کار را انجام می دهیم، آنها را گزارش کنیم و آنها را پنهان نکنیم. این حادثه مثال دیگری از این که چرا امنیت بخشی از وظایف هر یک از اعضای تیم در Cloudflare است، ارائه کرد.” شرکت گفت.

Cloudflare همچنین می‌گوید که این حادثه نشان می‌دهد که استفاده از کلیدهای فیزیکی چقدر برای ایمن کردن افراد و شبکه‌ها موثر است، زیرا علیرغم اینکه مهاجمان با موفقیت به اعتبارنامه‌های ورود قانونی دسترسی پیدا کردند، فقدان کلید به این معنی بود که نمی‌توانستند از آن سوء استفاده کنند. Cloudflare می‌گوید: «از زمان انتشار کلیدهای سخت، هیچ حمله فیشینگ موفقی ندیده‌ایم.

محققان پیشنهاد می‌کنند که کسانی که پشت این کمپین هستند هنوز هم می‌توانند در آنجا حضور داشته باشند و سعی کنند دیگران را هدف قرار دهند – و Cloudflare امیدوار است که با به اشتراک گذاشتن آنچه رخ داده است، به سایر قربانیان کمک کند از حملات در امان بمانند.

اطلاعات بیشتر در مورد امنیت سایبری