Cloudflare 抵御钓鱼攻击的经验分享

关键要点

• Cloudflare 和 Twilio 遭遇钓鱼攻击 ：在 Twilio 宣布遭到数据泄露的第二天，Cloudflare 也表示其员工可能成为类似攻击的目标。
• 安全措施奏效 ：攻击者设立的钓鱼网站成功诱骗了三名员工输入账户信息，但由于使用了物理安全密钥，攻击未能造成数据泄露。
• 迅速反应 ：Cloudflare 立刻封锁了钓鱼域名并重置了受影响员工的密码。

在 Twilio 宣布其遭受数据泄露后仅一天，指出，经过评估，认为其员工在类似的钓鱼攻击中被锁定。攻击者成功欺骗了三名员工输入他们的凭据。

尽管如此，Cloudflare 的 Cloudforce One威胁操作团队凭借公司所有员工必需使用的成功阻止了攻击。公司分享了自己的经历，因为此攻击者显然正在针对多个组织。

攻击细节

7月20日，至少有76名员工在个人和工作手机上收到了看似合法的短信，这些信息指出他们的日程已更新，并链接到一个看似官方的 Cloudflare Okta登录页面，域名为 cloudflare-okta.com。根据博客的说法，发送这些短信的四个电话号码来自 T-Mobile SIM卡，而该域名在钓鱼活动开始前不到40分钟就注册了。

当一名员工填写了假的登录页面后，凭据立即通过 Telegram 发送给了攻击者。然而，由于 Cloudflare 使用了，攻击者未能访问其系统。

公司的安全团队表示，如果攻击者成功入侵其系统，则可能会安装远程访问软件。

Cloudflare 迅速采取措施，阻止了钓鱼域名的访问，重设了受影响员工的凭据，并识别并 dismantled了攻击者的基础设施。同时，Cloudflare还更新了其检测系统，以识别后续的攻击尝试，目前尚未发现进一步的攻击。这起事件再次提醒我们，在面对网络安全威胁时，防范措施的重要性不容忽视。