0ktapus 网络钓鱼活动针对多因素身份验证系统

最近能够绕过多因素身份验证 (MFA) 的网络钓鱼攻击激增，引发了网络安全领域的重大关注。根据 Fireblocks 的报告，这些攻击暴露了即使是受到 MFA 保护的系统中固有的漏洞，强调了组织需要保持警惕，而不能仅仅依赖单一的安全措施。

什么是 0ktapus 及其背后是谁？

一个备受关注的活动，称为 0ktapus，是理解这些网络钓鱼攻击的重要案例研究。近年来，0ktapus 成功地瞄准了包括加密货币行业在内的大型组织。负责这次活动的团伙，被称为 Scattered Spider 或 UNC3944，通过 SMS 和 Telegram 进行网络钓鱼，并通过 Okta 等平台进行社交工程。这场活动已经在全球范围内攻击了超过 130 个组织，泄露了数千个凭证。

攻击生命周期和深度分析

0ktapus 活动尽管简单，但却非常有效。它们针对使用 Okta IAM/IdP 平台的组织，向员工发送短信钓鱼消息。这些消息通常非常紧急，引导收件人访问模仿其组织的 SSO/IdP 页面的网址。使用 SMS 而非传统电子邮件有助于绕过企业安全措施，如邮件网关。

对 Fireblocks 的攻击始于从美国号码发送的短信钓鱼消息，假冒合法通信并敦促收件人访问链接以与 HR 进行会议。这个链接将他们重定向到假冒的 Okta 登录页面。攻击者使用域名欺骗和相似的网址来增强真实性。受害者在假页面上输入凭证后，会被要求提供 2FA 令牌，这些信息会通过 Telegram 机器人实时传递给攻击者。

事件回顾以及 Fireblocks 如何应对

Fireblocks 的威胁狩猎团队在恶意域名注册后的 30 分钟内检测到它，立即请求其下线并发布全公司警报。活动在两个小时内被阻止，没有凭证泄露。Fireblocks 使用符合 FIDO2 和 WebAuthn 的身份验证，防止攻击者使用被盗凭证。

如何保护自己和你的企业

组织可以采取几项策略来防止类似攻击：

1) 加强 MFA 实施

通过使用 FIDO-2 和 WebAuthn 兼容的身份验证及生物识别验证来增强 MFA，可以减少 MFA 绕过的风险。

2) 条件访问和网络限制

实施设备指纹识别、IP 限制和主机检查可以减轻凭证重用和网络钓鱼的风险。

3) 增强用户培训和意识

定期进行识别网络钓鱼消息的培训，结合模拟网络钓鱼演习，可以提高员工的警惕性。

4) 利用威胁情报和威胁狩猎

强大的检测解决方案和威胁狩猎能力可以在网络钓鱼活动升级之前检测和缓解这些攻击。

5) 定期安全审计

定期进行安全审计有助于识别和修复系统漏洞，确保防御措施是最新的。

针对 Okta 等平台的网络钓鱼攻击仍然是一个重大威胁。0ktapus 活动展示了基本的社交工程如何绕过 MFA 并危及组织。通过了解这些攻击向量并实施最佳实践，企业可以增强其防御能力并保护其数字资产。