資安人員披露一場巨大的網路釣魚活動,佈局半年、超過 130 家公司受害、 9931 個登錄憑證被盜

資安人員披露一場巨大的網路釣魚活動,佈局半年、超過 130 家公司受害、 9931 個登錄憑證被盜

安全研究人員發現,超過 130 個組織,包括 Twilio、DoorDash 和 Signal ,都有可能被駭客入侵,這是被安全研究人員稱為 「0ktapus 」的長達數月的網路釣魚活動一部分。 

根據網路安全機構 Group - IB 的一份報告,屬於近 1 萬人的登錄憑證被攻擊者盜取,他們模仿了流行的單點登錄服務 Okta 。

資安人員披露一場巨大的網路釣魚活動,佈局半年、超過 130 家公司受害、 9931 個登錄憑證被盜

首先,攻擊者通過不明管道獲得了員工的私人電話號碼,然後透過發送簡訊,來誘導員工登錄他們精心偽造的身份驗證頁面,將他們轉到一個釣魚網站。

Group - IB 的報告表示,從受害者的角度來看,這個釣魚網站看起來很有說服力,因為它與他們習慣看到的認證頁面非常相似。受害者被要求提供他們的使用者名稱、密碼和一個雙因素認證程式碼。這些資訊隨後被傳送給攻擊者。

儘管該活動很成功,但 Group - IB 的分析表明,攻擊者有點缺乏經驗。對網路釣魚工具包的分析顯示,它的組態很差,它的開發方式提供了提取被盜憑證可以進行進一步分析的能力。

網路攻擊規模大,不排除竊取金錢

但無論是否缺乏經驗,這次攻擊的規模是巨大的, Group - IB 檢測到該活動所針對的 169 個獨特域名。

據瞭解, 0ktapus 活動始於 2022 年 3 月左右,到目前為止,大約有 9931 個登錄憑證被盜。攻擊者把他們的網撒得很開,目標是多個行業,包括金融、遊戲和電信業。 Group - IB 引用的目標域名(但未確認被盜)包括微軟、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games 和 Epic Games。

現金似乎至少是攻擊的動機之一,在被攻擊的名單中看到金融公司,讓我們認為攻擊者也在試圖偷錢。此外,一些目標公司提供訪問加密資產和市場的機會,而其他公司則開發投資工具。

Group - IB 警告說,我們很可能在一段時間內不會知道這次攻擊的全部規模。為了防範類似的攻擊, Group - IB 提供了通常的建議:一定要檢查你要輸入登錄資訊的任何網站的 URL,對從未知來源收到的 URL 持懷疑態度。為了增加保護,你可以使用 「不可偽造的」雙因素安全金鑰,如 YubiKey 。

 

cnBeta
作者

cnBeta.COM(被網友簡稱為CB、cβ),官方自我定位「中文業界資訊站」,是一個提供IT相關新聞資訊、技術文章和評論的中文網站。其主要特色為遊客的匿名評論及線上互動,形成獨特的社群文化。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則