安全研究人員發現,超過130個組織,包括Twilio、DoorDash和Signal,都有可能被黑客入侵,這是被安全研究人員稱為 “0ktapus”的長達數月的網絡釣魚活動一部分。
根據網絡安全機構Group-IB的一份報告,屬於近10000人的登錄憑證被攻擊者盜取,他們模仿了流行的單點登錄服務Okta。目標被發送短信,將他們轉到一個釣魚網站。正如Group-IB的報告所說,從受害者的角度來看,這個釣魚網站看起來很有說服力,因為它與他們習慣看到的認證頁面非常相似。受害者被要求提供他們的用戶名、密碼和一個雙因素認證代碼。這些信息隨後被發送給攻擊者。
儘管該活動很成功,但Group-IB的分析表明,攻擊者有點缺乏經驗。有趣的是,Group-IB的分析表明,攻擊者在某種程度上是沒有經驗的,對網絡釣魚工具包的分析顯示,它的配置很差,它的開發方式提供了提取被盜憑證進行進一步分析的能力。
但無論是否缺乏經驗,這次攻擊的規模是巨大的,Group-IB檢測到該活動所針對的169個獨特域名。據了解,0ktapus活動始於2022年3月左右,到目前為止,大約有9931個登錄憑證被盜。攻擊者把他們的網撒得很開,目標是多個行業,包括金融、遊戲和電信業。Group-IB引用的目標域名(但未確認被盜)包括微軟、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。
現金似乎至少是攻擊的動機之一,在被攻擊的名單中看到金融公司,讓我們認為攻擊者也在試圖偷錢。此外,一些目標公司提供訪問加密資產和市場的機會,而其他公司則開發投資工具。Group-IB警告說,我們很可能在一段時間內不會知道這次攻擊的全部規模。為了防範類似的攻擊,Group-IB提供了通常的建議:一定要檢查你要輸入登錄信息的任何網站的URL;對從未知來源收到的URL持懷疑態度;為了增加保護,你可以使用 “不可偽造的 “雙因素安全密鑰,如YubiKey。