سوء استفاده از Cloudflare R2 برای میزبانی صفحات فیشینگ

وبلاگ ابر آسیاتک » اخبار فناوری » سوء استفاده از Cloudflare R2 برای میزبانی صفحات فیشینگ

سوء استفاده از Cloudflare R2 برای میزبانی صفحات فیشینگ توسط مهاجمان سایبری چگونه رخ می‌دهد؟

Cloudflare R2 یکی از سرویس‌های پوشش دهنده شبکه است که توسط شرکت Cloudflare ارائه و به منظور محافظت از وبسایت‌ها در برابر حملات سایبری استفاده می‌شود.

این سرویس، به شرکت‌ها و وبسایت‌ها اجازه می‌دهد تا از بروز هر گونه آسیب رسانی به سیستم جلوگیری و از اطلاعات محرمانه و حساس خود محافظت کنند.

اما، متأسفانه، سوء استفاده مجرمان سایبری از این سرویس نیز رخ می‌دهد. این جرمانها از Cloudflare R2 برای میزبانی صفحات فیشینگ استفاده می‌کنند.

در این مقاله، به بررسی این نوع سوء استفاده مجرمان سایبری از Cloudflare R2 و تاثیرات آن برای کاربران خواهیم پرداخت.

سوء استفاده مجرمان سایبری از Cloudflare R2 برای دستیابی به صفحات فیشینگ

طی شش ماه گذشته، استفاده هکران از Cloudflare R2 برای میزبانی صفحات فیشینگ افزایش ۶۱ برابری داشته است.

به نقل از جان مایکل محقق امنیتی Netskope، اکثر کمپین‌های فیشینگ اعتبار ورود مایکروسافت را هدف قرار می‌دهند، اگرچه برخی از صفحات Adobe ،Dropbox و سایر برنامه‌های ابری را نیز مورد هدف قرار می‌دهند.

Cloudflare R2، مشابه Amazon Web Service S3، Google Cloud Storage و Azure Blob Storage، یک سرویس ذخیره‌سازی داده ابری است.

این توسعه در حالی صورت می‌گیرد که تعداد کل برنامه‌های ابری که دانلود بدافزار از آن‌ها آغاز می‌شود به ۱۶۷ مورد افزایش یافته است و مایکروسافت OneDrive، Squarespace، GitHub، SharePoint و Weebly پنج رتبه اول را به خود اختصاص داده‌ است.

کمپین‌های فیشینگ شناسایی شده توسط Netskope نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوء استفاده می‌کنند، بلکه از پیشنهاد سرویس Turnstile این شرکت که جایگزینی برای کپچا است، برای قرار دادن چنین صفحاتی در پشت موانع ضد ربات برای مقابله با شناسایی استفاده می‌کنند.

انجام این کار، از رسیدن اسکنرهای آنلاین مانند urlscan.io به سایت فیشینگ واقعی جلوگیری می‌کند، زیرا تست CAPTCHA با شکست مواجه می‌شود.

به عنوان یک لایه اضافی برای فرار از شناسایی، سایت‌های مخرب طوری طراحی شده‌اند که محتوا را تنها در صورت رعایت شرایط خاص بارگذاری کنند.

بیشتر بدانید : اصلاح آسیب پذیری‌ها توسط فایرفاکس

به گفته مایکل، این وب سایت مخرب برای نمایش صفحه فیشینگ واقعی، به یک سایت ارجاعی نیاز دارد که پس از یک نماد هش در URL، یک تایم لپس در آن قرار دهد.

از سوی دیگر، سایت ارجاع دهنده نیاز دارد تا یک سایت فیشینگ را به عنوان پارامتر دریافت کند.

در صورتی که هیچ پارامتر URL به سایت ارجاع دهنده ارسال نشود، بازدیدکنندگان به www.google[.]com هدایت می‌شوند. 

این اتفاق یک ماه پس از آن صورت می‌گیرد که شرکت امنیت سایبری جزئیات یک کمپین فیشینگ را فاش کرد و مشخص شد صفحات ورود جعلی خود را در AWS Amplify برای سرقت اطلاعات بانکی کاربران و مایکروسافت ۳۶۵ به همراه جزئیات پرداخت کارت از طریق Bot API تلگرام میزبانی می‌کرد.

جمع بندی

در دنیای امروزی که فناوری اطلاعات و ارتباطات به طور همگانی در حال پیشرفت است، حملات سایبری و سوء استفاده‌های مجرمانه نیز به شکل گسترده‌ای افزایش یافته‌اند. یکی از روش‌های پرکاربرد که توسط متخصصان سایبری استفاده می‌شود، استفاده از سرویس‌های محبوب مانند Cloudflare R2 برای میزبانی صفحات فیشینگ است که به تازگی توسط مهاجمان سایبری مورد سوء استفاده قرار گرفته است. با مطالعه این مقاله می‌توانید از چگونگی سوء استفاده و تاثیرات آن مطلع شوید.

منابع :

https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html