在Twilio之后,Cloudflare员工也遭遇了同样的钓鱼攻击,同样是在钓鱼短信攻击中被盗,方式与Twilio上周披露的一样。根据Cloudflare的官方博客,大约在Twilio遭到攻击的同时,Cloudflare员工也受到了具有非常相似特征的攻击。至少有76名员工的个人或工作手机号码收到钓鱼短信,部分短信还发送至员工家属。虽然目前还无法确定攻击者是如何收集员工手机号码的,但由于Cloudflare使用了符合FIDO2标准的安全密钥,即使攻击者获得了员工账号,在他们尝试登录时也被成功阻止。Cloudflare还据透露,钓鱼短信提供了一个克隆的登录页面,域名为cloudflare-okta.com。在此页面输入凭据后,AnyDesk远程访问软件会自动下载到计算机上,允许攻击者远程控制他们的设备。该域名是通过Porkbun注册的,Porkbun与Twilio攻击中出现的钓鱼登录页面的域名是同一家注册商。发送给Cloudflare员工的钓鱼短信(Cloudflare)在这次攻击中,Cloudflare使用多种方法进行防御:使用CloudflareGateway阻止钓鱼页面识别所有受影响的Cloudflare员工帐户并重置受损凭证识别并删除攻击者部署的基础设施更新检测以识别任何后续的攻击尝试审计服务访问日志是否有任何其他攻击迹象可见,Cloudflare以有效的防御成功抵御了这次钓鱼攻击,Twilio也未能幸免,虽然Twilio通过联系运营商和服务提供商,关闭了攻击者的URL,但是攻击者还可以通过更改运营商和服务提供商来继续攻击。所以俗话说,打铁要硬。
