放大/这绝对不是 Razer 鼠标——但你明白了。 (信用:卡尔维奥通过盖蒂图片社)
最近出现了一连串网络钓鱼攻击,其精确度和执行力都非常精确,以至于它们成功地愚弄了网络安全行业中一些最有意识的人。周一、周二和周三,双因素身份验证提供商 Twilio、内容交付网络 Cloudflare 和网络设备制造商思科表示,拥有员工和员工家庭成员电话号码的网络钓鱼者诱骗员工泄露他们的凭据。网络钓鱼者可以访问 Twilio 和 Cisco 的内部系统。 Cloudflare 基于硬件的 2FA 密钥可防止网络钓鱼者访问其系统。
网络钓鱼者坚持不懈,有条不紊,显然已经完成了他们的功课。在一分钟内,至少 76 名 Cloudflare 员工收到了短信,这些短信使用各种诡计诱骗他们登录他们认为是自己的工作帐户。该网络钓鱼网站使用了一个在消息发出前 40 分钟注册的域 (cloudflare-okta.com),阻止了 Cloudflare 用来在创建使用其名称的域时收到警报的系统(可能是因为新条目需要时间填充)。网络钓鱼者也有办法击败依赖于身份验证器应用程序生成或通过短信发送的一次性密码的 2FA 形式。
营造紧迫感
与 Cloudflare 一样,Twilio 和 Cisco 都收到了短信或电话,这些短信或电话也是在紧急情况下发送的——日程安排突然改变、密码过期或以受信任的组织为幌子的电话——需要目标迅速采取行动。