两周前 ，络钓Twilio 和 Cloudflare 披露了一场精心策划的鱼攻网络钓鱼攻击，导致两家公司员工的击导账户凭据被泄露。其中 Twilio 的致T织两步验证（2FA）系统被攻破，导致攻击者能够访问其内部系统 
。个组现在，上万安全研究人员已找到这轮大规模网络钓鱼攻击的凭据幕后黑手，可知 130 个组织近 10000 个账户凭据受到了被窃取。被窃

由 Twilio 和 Cloudflare 披露的络钓细节可知，这轮网络钓鱼攻击有着相当于外科手术的鱼攻精确度和执行计划。亿华云

首先，击导攻击者通过不明渠道获得了员工的致T织私人电话号码（某些情况下还套路到了其家人的号码），然后通过发送短信来忽悠员工登录精心伪造的个组身份验证页面。

受害者遭遇的上万常规网络钓鱼套路（图自：Group-IB）

40 分钟内
，76 名 Cloudflare 员工陆续收到了钓鱼短信 —— 其中包含一个在攻击实施 40 分钟前才注册的凭据域名 ，以绕过该公司对假冒威胁站点的黑名单防护策略
。

紧接着，网络钓鱼攻击者利用了代理站点来实时执行劫持  ，并截获了 Twilio 双因素（2FA）身份验证用的高防服务器一次性验证码、并将之套用到了真实站点。

于是几乎在同一时间，攻击者利用其对 Twilio 网络的访问权限
、窃取了 Signal Messenger 约 1900 名用户的电话号码 。

由 Group-IB 周四发布的安全报告可知，Twilio 被卷入了一场被称作“0Ktapus”的更大规模的网络钓鱼攻击事件
。过去六个月时间里，同样的模板下载套路导致 130 个组织的 9931 个凭据被泄露。

行业波及范围

分析发现 ，为了引诱受害者上钩，幕后攻击者利用了至少 169 个独特的互联网域名 —— 常见包含单点登录（SSO）、虚拟专用网、多因素认证（MFA） 、帮助（HELP）等关键词。

为了充分利用既有的攻击手段，幕后黑客选择了通过此前未知的、但相同的网络钓鱼工具包来打造钓鱼网站 ，建站模板且规模和范围前所未有 —— 至少从 2022 年 3 月持续至今。

疑似昵称“X”的管理员信息

Group-IB 研究人员补充道，正如 Signal 披露的那样，一旦攻击者成功侵入了一个组织，它们就能够迅速转向、并发起后续的一系列供应链攻击
。

虽然没有指出到底有哪些公司受到了影响，仅称其中至少有 114 家位于美国、或在美设有分支机构的企业 —— 其中 IT
、软件开发和云服务公司成为了 0ktapus 钓鱼攻击的首要目标
。云计算

安全研究人员推测攻击者位于北卡罗来纳州

周四的时候
，Okta也在一篇帖子中透露了其为受害者之一。可知钓鱼攻击者会引诱受害者至 Telegram 频道 ，以绕过基于一次性验证码的 2FA 验证防护。

当受害者在精心伪造的站点上输入用户名和密码时 ，机密信息会即刻传递给攻击者
、并导致真实站点沦陷 。

ArsTechnica 指出—— 此类事件的不断上演 ，揭示了现代组织在面对手段并不高明的社会工程攻击时的脆弱性 、香港云服务器及其对合作伙伴与客户能够造成的深远影响。