แฮ็กเกอร์ที่อยู่เบื้องหลังการเจาะ Twilio ล่าสุดมาเล่นพนักงาน Cloudflare แล้ว
เมื่อวันอังคาร บริษัทผู้ให้บริการระบบเว็บไซต์อย่าง Cloudflare ออกมาเผยว่า มีพนักงานอย่่างน้อย 76 ราย รวมถึงสมาชิกในครอบครัวด้วย ที่ได้รับข้อความบนโทรศัพท์ทั้งเบอร์ส่วนตัวและเครื่องที่ทำงาน ที่ลักษณะคล้ายกับการโจมตีแบบฟิชชิ่งที่เคยเกิดกับที่ Twilio
การโจมตีนี้เกิดขึ้นเวลาไล่เลี่ยกับกรณีของ Twilio ส่งมาจากเบอร์โทรศัพท์ 4 เบอร์ที่ใช้ซิมจาก T-Mobile ซึ่งแน่นอนว่าครั้งนี้โจมตีไม่สำเร็จโดยสิ้นเชิง ข้อความที่ส่งมานี้พยายามทำให้คล้ายกับมาจากโดเมนที่ถูกต้อง มีคีย์เวิร์ดอย่าง “Cloudflare” และ “Okta”
เป็นข้อความที่พยายามหลอกล่อให้พนักงานบอกรหัสผ่านของตัวเอง ข้อความหลอกลวงทาง SMS หรือที่เรียกว่าการโจมตีแบบ Smishing กว่า 100 ข้อความนี้ เกิดขึ้นแค่ภายใน 40 นาทีหลังมีการจดทะเบียนโดเมนแปลกปลอมบน Porkbun บนเว็บฟิชชิ่งที่ทำขึ้นนี้จะคอยส่งรหัสผ่านไปให้ผู้โจมตีผ่านเทเลแกรมแบบเรียลไทม์
ความเรียลไทม์นี้สามารถใช้เข้าถึงการล็อกอินแบบ 2FA ได้ด้วย ถ้าเหยื่อกรอก OTP ที่จับเวลา (TOTP) เข้ามาบนหน้าเว็บ ทั้งนี้ Cloudflare ระบุว่ามีพนักงาน 3 รายที่หลงคลิกเข้าไปโดนหลอก แต่บริษัทสามารถป้องกันเหตุลุกลามได้ด้วยการใช้กุญแจรหัสกายภาพแบบ FIDO2
อ่านเพิ่มเติมที่นี่ – THN