位于荷兰的IT安全提供商Fox-IT披露，曾在2017年9月遭到不明身份的黑客发起的中间人攻击，攻击持续10个小时24分钟。

攻击过程

Fox-IT表示，黑客劫持了公司的域名，随后以Fox-IT的名义获取SSL证书。之后，黑客将域名指向受控的私有VPS(虚拟专用服务器)服务器，进而执行中间人攻击，接收本应流向Fox-IT域名的流量，凭借SSL证书读取HTTPS连接的内容，随后将用户重定向回真正的Fox-IT服务器。

荷兰网络安全公司Fox-IT遭遇中间人攻击-E安全

黑客仅以Fox-IT的用户门户网站为目标

Fox-IT表示，黑客只对拦截ClientPortal网站的流量感兴趣。攻击者拦截了登录尝试、凭证和发送给ClientPortal的文件，共拦截了9名用户的凭证和12份文件。

受影响用户数量不多的原因在于，Fox-IT在事发5个小时后检测到了这起域名劫持事件和中间人攻击，并禁用了双因素认证服务，从而有效地阻止用户登录并暴露其它重要的文件和数据。

除此之外，Fox-IT迅速通知了受影响的客户，并重置了遭拦截的密码。Fox-IT表示，遭拦截的文件中并不包含“机密”文件，只有少数文件包含敏感信息。其它文件和数据包含手机号码、ClientPortal用户的名称和电子邮箱，以及ClientPortal账户名。

Fox-IT遭遇攻击后如何响应?

Fox-IT表示，行业平均检测威胁所需时间为几周，而他们的速度明显超出平均水平。这家公司还表示已向荷兰执法机构上报了该事件。这起攻击从发生到披露的详细时间如下：

2017年9月16日：攻击者针对Fox-IT的基础设施展开首次探测活动，包括常规的端口 扫描漏洞扫描和其它扫描活动。

2017年9月19日, 00:38：攻击者第三方提供商处修改了fox-it.com 域名的DNS记录。

2017年9月19日, 02:02： 这是Fox-IT能够确定clientportal.fox-it.com仍指向合法ClientPortal 服务器的最后时间，当时流向ClientPortal的流量未遭遇拦截。

2017年9月19日, 02:05-02:15：攻击者临时重定向并拦截了Fox-IT的电子邮件，其目的是为了证明他们在为ClientPortal 注册虚假SSL证书的过程中获取了Fox-IT的域名。

2017年9月19日, 02:21：真正开始启动针对ClientPortal中间人攻击。此时，ClientPortal的欺骗性SSL证书已到位，clientportal.fox-it.com的IPDNS记录已被修改指向国外VPS提供商。

2017年9月19日, 07:25：经Fox-IT判断，fox-it.com的域名服务器已被重定向，而这种更改操作并未经过授权。Fox-IT将DNS设置改回自己的域名服务器，并修改了域名注册账户的密码。由于域名名称系统的缓存和分布式性质，修改需要一定的时间完全生效。

2017年9月19日, 12:45：Fox-IT禁用了ClientPortal登录认证系统的双因素验证(通过文本信息)，从而有效阻止ClientPortal用户成功登录后遭遇流量拦截。此外，为了不打草惊蛇Fox-IT仍保持ClientPortal正常运作。此时，从技术角度来讲中间人攻击仍然处于活跃状态，但却也无法接收流量实施拦截，因为用户无法执行双因素验证和登录操作。

2017年9月19日-20日：Fox-IT对此展开完整的调查，同时通知了受影响的所有用户和荷兰数据保护局等相关方。警方为此展开调查。基于Fox-IT的调查，攻击已得到全面控制，该公司正准备在ClientPortal上重新启用双因素认证。

2017年9月20日, 15:38：ClientPortal恢复正常运行。Fox-IT的内部调查工作仍在继续。