事件發生在 2022 年 5 月 24 日
原文: Cisco Talos shares insights related to recent cyber attack on Cisco
ITHOME: 思科坦承遭網路攻擊,公布完整攻擊鏈
根據思科的調查,駭客是先取得了一名思科員工的個人Google帳號,該名員工在Chrome中啟用了帳號同步功能,並於瀏覽器上存放了思科憑證;在得到思科憑證之後,駭客藉由語音網釣,以及頻繁發送多因素認證(MFA)請求至員工手機,最終成功進入了思科的VPN網路。
該名憑證被盜用的員工還說,他在幾天之內收到無數的電話,對方以各種國際腔調說著英文,宣稱來自於受到該員工信任的組織。
隨後駭客還註冊了多個裝置以供MFA使用,並將自己升級到管理權限以登入多個系統,便是此舉觸發了思科內部的安全警報。
所以有沒有該名員工允許了駭客成功 MFA 了 ??
留言