Домейните „pages.dev“ и „workers.dev“ на Cloudflare, използвани за разгръщане на уеб страници и улесняване на безсървърните изчисления, все по-често се използват от киберпрестъпници за фишинг и други злонамерени дейности.
Според фирмата за киберсигурност Fortra злоупотребите с тези домейни са се увеличили с между 100% и 250% в сравнение с 2023 г.
Изследователите смятат, че използването на тези домейни има за цел да подобри легитимността и ефективността на тези злонамерени кампании, като се възползва от надеждната марка на Cloudflare, надеждността на услугата, ниските разходи за използване и опциите за обратно проксиране, които усложняват откриването.
Cloudflare Pages е платформа, създадена за front end разработчици, за изграждане, внедряване и хостване на бързи, мащабируеми уебсайтове директно в глобалната мрежа за доставка на съдържание (CDN) на Cloudflare.
Тя разполага със статичен хостинг на сайтове, поддържа редица съвременни рамки за внедряване на уеб приложения и предлага SSL/TLS криптиране по подразбиране, като осигурява HTTPS връзки, без да изисква допълнителна конфигурация.
Fortra съобщава, че Cloudflare Pages се е превърнал в инструмент за киберпрестъпниците, които злоупотребяват с него, като хостват междинни фишинг страници, които пренасочват жертвите към злонамерени сайтове, като например фалшиви страници за вход в Microsoft Office365.
Жертвите се насочват към тях чрез връзки, вградени във фалшиви PDF файлове или в телата на фишинг имейли, които не се сигнализират от продуктите за сигурност благодарение на репутацията на Cloudflare.
„Екипът SEA на Fortra е наблюдавал 198% увеличение на фишинг атаките на страници на Cloudflare, като броят им е нараснал от 460 инцидента през 2023 г. до 1370 инцидента в средата на октомври 2024 г.“, съобщава Fortra.
„При средно около 137 инцидента на месец, общият обем на атаките се очаква да надхвърли 1600 до края на годината, което представлява прогнозирано увеличение от 257% на годишна база.“
Fortra също така отбелязва, че заплахите използват тактиката „bccfoldering“, за да скрият мащаба на своите кампании за разпространение на имейли.
„За разлика от полето „cc“, което показва получателите, „bccfoldering“ скрива получателите, като ги добавя само в плика на електронното писмо, а не в заглавията“, обяснява Fortra.
„Това прави получателите неоткриваеми, освен ако сървърът не е конфигуриран да ги разкрива. Тази тактика се използва от противника, за да прикрие мащаба на фишинг кампанията, тъй като скритите получатели могат да затруднят откриването на мащаба на фишинг кампанията.“
Cloudflare Workers е платформа за изчисления без сървър, която позволява на разработчиците да пишат и внедряват леки приложения и скриптове директно в крайната мрежа на Cloudflare.
Законосъобразните им употреби включват разгръщане на API, оптимизиране на съдържанието, внедряване на потребителски защитни стени и CAPTCHA, автоматизиране на задачи и създаване на микроуслуги.
Fortra е забелязала и рязко нарастване на злоупотребите с Workers, включително за провеждане на разпределени атаки за отказ на услуга (DDoS), разгръщане на фишинг сайтове, инжектиране на вредни скриптове в браузъра на целта и грубо насилване на пароли за акаунти.
В един от случаите, посочени от изследователите, Cloudflare Workers се използва за хостване на стъпка за човешка проверка в процеса на фишинг, за да се добави легитимност.
„Станахме свидетели на 104% скок на фишинг атаките в тази платформа [Cloudflare Workers], като те се покачиха от 2447 инцидента през 2023 г. до 4999 инцидента от началото на годината“, се казва в доклада на Fortra.
„Понастоящем средният брой на инцидентите е 499 на месец, а общият им обем се очаква да достигне почти 6000 до края на годината, което отразява прогнозирано 145% увеличение в сравнение с предходната година.“
Потребителите могат да се защитят от фишинг, при който се злоупотребява с легитимни услуги, като проверяват автентичността на URL адресите, на които се намират, когато са помолени да въведат чувствителна информация.
И накрая, активирането на допълнителни стъпки за сигурност на акаунта, като например двуфакторно удостоверяване, може да помогне за предотвратяване на превземането, дори когато идентификационните данни са компрометирани.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.