سوء استفاده از Cloudflare R2 برای میزبانی صفحات فیشینگ توسط مهاجمان سایبری چگونه رخ میدهد؟
Cloudflare R2 یکی از سرویسهای پوشش دهنده شبکه است که توسط شرکت Cloudflare ارائه و به منظور محافظت از وبسایتها در برابر حملات سایبری استفاده میشود.
این سرویس، به شرکتها و وبسایتها اجازه میدهد تا از بروز هر گونه آسیب رسانی به سیستم جلوگیری و از اطلاعات محرمانه و حساس خود محافظت کنند.
اما، متأسفانه، سوء استفاده مجرمان سایبری از این سرویس نیز رخ میدهد. این جرمانها از Cloudflare R2 برای میزبانی صفحات فیشینگ استفاده میکنند.
در این مقاله، به بررسی این نوع سوء استفاده مجرمان سایبری از Cloudflare R2 و تاثیرات آن برای کاربران خواهیم پرداخت.
سوء استفاده مجرمان سایبری از Cloudflare R2 برای دستیابی به صفحات فیشینگ
طی شش ماه گذشته، استفاده هکران از Cloudflare R2 برای میزبانی صفحات فیشینگ افزایش 61 برابری داشته است.
به نقل از جان مایکل محقق امنیتی Netskope، اکثر کمپینهای فیشینگ اعتبار ورود مایکروسافت را هدف قرار میدهند، اگرچه برخی از صفحات Adobe ،Dropbox و سایر برنامههای ابری را نیز مورد هدف قرار میدهند.
Cloudflare R2، مشابه Amazon Web Service S3، Google Cloud Storage و Azure Blob Storage، یک سرویس ذخیرهسازی داده ابری است.
این توسعه در حالی صورت میگیرد که تعداد کل برنامههای ابری که دانلود بدافزار از آنها آغاز میشود به 167 مورد افزایش یافته است و مایکروسافت OneDrive، Squarespace، GitHub، SharePoint و Weebly پنج رتبه اول را به خود اختصاص داده است.
کمپینهای فیشینگ شناسایی شده توسط Netskope نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوء استفاده میکنند، بلکه از پیشنهاد سرویس Turnstile این شرکت که جایگزینی برای کپچا است، برای قرار دادن چنین صفحاتی در پشت موانع ضد ربات برای مقابله با شناسایی استفاده میکنند.
انجام این کار، از رسیدن اسکنرهای آنلاین مانند urlscan.io به سایت فیشینگ واقعی جلوگیری میکند، زیرا تست CAPTCHA با شکست مواجه میشود.
به عنوان یک لایه اضافی برای فرار از شناسایی، سایتهای مخرب طوری طراحی شدهاند که محتوا را تنها در صورت رعایت شرایط خاص بارگذاری کنند.
بیشتر بدانید : اصلاح آسیب پذیریها توسط فایرفاکس
به گفته مایکل، این وب سایت مخرب برای نمایش صفحه فیشینگ واقعی، به یک سایت ارجاعی نیاز دارد که پس از یک نماد هش در URL، یک تایم لپس در آن قرار دهد.
از سوی دیگر، سایت ارجاع دهنده نیاز دارد تا یک سایت فیشینگ را به عنوان پارامتر دریافت کند.
در صورتی که هیچ پارامتر URL به سایت ارجاع دهنده ارسال نشود، بازدیدکنندگان به www.google[.]com هدایت میشوند.
این اتفاق یک ماه پس از آن صورت میگیرد که شرکت امنیت سایبری جزئیات یک کمپین فیشینگ را فاش کرد و مشخص شد صفحات ورود جعلی خود را در AWS Amplify برای سرقت اطلاعات بانکی کاربران و مایکروسافت 365 به همراه جزئیات پرداخت کارت از طریق Bot API تلگرام میزبانی میکرد.
جمع بندی
در دنیای امروزی که فناوری اطلاعات و ارتباطات به طور همگانی در حال پیشرفت است، حملات سایبری و سوء استفادههای مجرمانه نیز به شکل گستردهای افزایش یافتهاند. یکی از روشهای پرکاربرد که توسط متخصصان سایبری استفاده میشود، استفاده از سرویسهای محبوب مانند Cloudflare R2 برای میزبانی صفحات فیشینگ است که به تازگی توسط مهاجمان سایبری مورد سوء استفاده قرار گرفته است. با مطالعه این مقاله میتوانید از چگونگی سوء استفاده و تاثیرات آن مطلع شوید.
منابع :
https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html
[yasr_overall_rating]