许多网站为了提升安全性，都会要求用户使用两步验证。常见的方案是使用一些验证器 App 配置一次性密码。

https://support.google.com/accounts/thread/129630757/will-restoring-my-phone-include-google-authenticator-codes?hl=en

后来就切换到了 Authy。

然而此前收购 Authy 的厂商 Twilio 近日在官方博客上发布公告称，自己的员工遭到了“sophisticated social engineering attack”，从而被攻击者访问到一些内部的系统和用户数据。

Incident Report: Employee and Customer Account Compromise - August 4, 2022

8 月 4 日，Twilio 检测到两个员工账户存在一些可疑的未授权访问。根据文章描述，twilio 的员工收到了如下的钓鱼短信，提示用户的密码过期，并附上一个钓鱼页面。

这可真是够 sophisticated 的。

Twilio 之后和运营商以及服务器所在的供应商合作，将涉及的手机号和相关网站关停了。发出钓鱼短信的攻击者似乎还从未知渠道提前获取了 Twilio 雇员的姓名和电话号码，来增大攻击成功率。

检测到攻击之后，涉事的内部账号权限已经被停用。目前取证工作仍在进行之中。Twilio 称他们很重视在员工中做社工攻击演练，而就在攻击发生前几周他们就因为察觉到一些迹象而发布了内部安全通告。然而对方还是得手了。Twilio 仍在调查设计的数据范围，称将主动联系受到波及的客户。

文章暂时没有提到 Authy App 是否受到本次事件波及。

整理自 twilio 官网

https://www.twilio.com/blog/august-2022-social-engineering-attack