Parte 1: La campagna di truffa ai danni dei dipendenti di Cloudflare
I ricercatori nel campo della sicurezza informatica hanno lanciato l'allarme su diverse campagne di phishing che sfruttano Cloudflare Workers per raccogliere le credenziali di accesso degli utenti. Questi siti web di phishing prendono di mira gli utenti di servizi come Microsoft, Gmail, Yahoo! e cPanel Webmail.
In questo caso, l'attaccante ha utilizzato una tecnica chiamata " Adversary-in-the- Middle" (AitM). Per condurre l'attacco, ha utilizzato Cloudflare Workers come server intermediario fittizio. Quando un utente accedeva a una pagina di login legittima, Cloudflare Workers intercettava e inoltrava i dati tra l'utente e la vera pagina di login.
In sostanza, questo tipo di attacco si articola in quattro fasi:
- Fase 1: L'hacker invia email di phishing all'utente.
Gli aggressori inviano email di phishing contenenti link a siti web falsi. Queste email possono essere contraffatte e provenire da una fonte apparentemente attendibile, contenendo messaggi che inducono gli utenti a cliccare sul link.
- Passaggio 2: L'utente clicca sull'email e viene reindirizzato a un sito web di phishing che passa attraverso Cloudflare.
Gli utenti ricevono email e cliccano sui link in esse contenuti, venendo reindirizzati a un sito web fasullo. Questo sito web è ospitato su Cloudflare Workers, quindi le richieste degli utenti passano attraverso Cloudflare Workers.
- Passaggio 3: Cloudflare inoltra la richiesta dell'utente al sito web legittimo.
Quando un utente inserisce le proprie credenziali di accesso su un sito web falso, Cloudflare Workers registra queste informazioni (inclusi nome utente, password e codice di autenticazione a due fattori, se applicabile). Cloudflare Workers inoltra quindi la richiesta al sito web legittimo. Gli utenti possono comunque accedere al sito web legittimo senza notare alcuna differenza.
- Passaggio 4: Cloudflare registra le informazioni dell'utente e le invia all'hacker.
Cloudflare Workers registra le informazioni di accesso degli utenti e le invia a un malintenzionato. Quest'ultimo può quindi utilizzare tali informazioni per accedere all'account dell'utente e compiere azioni dannose.
Parte 2: Tecnica di contrabbando HTML e strategie di raccolta delle informazioni di accesso
L'HTML Smuggling è un sofisticato metodo di attacco utilizzato dai malintenzionati per creare furtivamente pagine di phishing direttamente nel browser dell'utente.
In sostanza, l'attacco HTML Smuggling si articola nei seguenti cinque passaggi principali:
- Fase 1: L'aggressore invia un'e-mail di phishing.
L'aggressore crea un'e-mail di phishing, impersonando una fonte attendibile come un'organizzazione o un servizio che la vittima utilizza frequentemente. Questa e-mail contiene un link dannoso o un allegato HTML. Il contenuto dell'e-mail include spesso un messaggio persuasivo o urgente, progettato per indurre la vittima ad aprire il link o l'allegato, come ad esempio una notifica relativa a un account bloccato o a un documento importante che richiede attenzione immediata.
- Passaggio 2: L'utente riceve l'e-mail e apre il link/allegato.
Gli utenti ricevono email di phishing e, ignari, cliccano sul link o aprono l'allegato HTML. In tal caso, il loro browser carica ed esegue il codice JavaScript dannoso contenuto nel file HTML o nel link. Questo codice è progettato per essere eseguito direttamente nel browser dell'utente senza richiedere il download di alcun software aggiuntivo.
- Passaggio 3: Il codice JavaScript crea la pagina di phishing direttamente nel browser dell'utente.
Un codice JavaScript dannoso genera automaticamente una pagina di phishing e la visualizza nel browser dell'utente. Questa pagina di phishing è spesso molto simile alla pagina di accesso legittima di un servizio online come Microsoft, Gmail o qualsiasi altro servizio che la vittima utilizza regolarmente. Ciò impedisce alla vittima di rendersi conto di trovarsi su una pagina falsa.
- Passaggio 4: L'utente inserisce le proprie credenziali di accesso nella pagina di phishing.
Indubbiamente, gli utenti inseriscono le proprie credenziali di accesso nel sito di phishing. Queste includono nome utente, password ed eventualmente i codici di autenticazione a due fattori (MFA), se richiesti. Il sito di phishing è progettato per registrare segretamente tutte queste informazioni.
- Passaggio 5: Le informazioni di accesso vengono inviate al server dell'hacker.
Quando un utente inserisce le proprie credenziali di accesso su un sito di phishing, un codice JavaScript dannoso invia queste informazioni al server dell'hacker. Ciò consente all'attaccante di raccogliere le credenziali di accesso della vittima, inclusi nome utente, password e codice di autenticazione a due fattori. Con queste informazioni, l'attaccante può ottenere l'accesso non autorizzato all'account della vittima.
Parte 3: Raccomandazioni per gli utenti sulle misure preventive
Per proteggersi dai metodi di attacco informatico sempre più sofisticati, come accennato in precedenza, gli utenti devono adottare diverse misure preventive per ridurre al minimo i rischi. Ecco alcuni consigli importanti:
- Sensibilizzare l'opinione pubblica sulla sicurezza informatica
Nell'odierno contesto digitale, i metodi di attacco informatico sono in continua evoluzione e diventano sempre più sofisticati. Pertanto, è fondamentale aggiornarsi regolarmente sulle ultime minacce alla sicurezza informatica. Gli utenti dovrebbero seguire proattivamente fonti di informazione affidabili e aggiornate per comprendere i rischi e sapere come prevenirli.
- Utilizzo dell'autenticazione a due fattori (2FA):
L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza. Anche se un malintenzionato riuscisse a ottenere le tue credenziali di accesso, avrebbe comunque bisogno di un secondo codice di verifica per accedere al tuo account.
- Controllare e verificare sempre prima di agire.
Prima di cliccare su qualsiasi allegato o link, controllate attentamente tutti i componenti.
PENSA ATTENTAMENTE PRIMA DI CLICCARE CON IL MOUSE!!!
- Utilizzare un software antivirus.
Il software antivirus è in grado di scansionare e rilevare vari tipi di malware, come virus, trojan, ransomware, spyware e altre minacce. Una volta rilevato, rimuoverà o isolerà il malware per proteggere il sistema.
Nell'era digitale odierna, i metodi di attacco informatico diventano sempre più sofisticati e difficili da individuare. Comprendere e prevenire le campagne di phishing che utilizzano Cloudflare Workers e HTML Smuggling è fondamentale. Per proteggersi, gli utenti devono aggiornare regolarmente le proprie conoscenze in materia di sicurezza informatica, utilizzare gestori di password, installare software antivirus e implementare l'autenticazione a due fattori. Queste misure non solo contribuiscono a proteggere le informazioni personali, ma anche a migliorare la sicurezza informatica dell'intera comunità.
— Redatto dal Comitato per la Sicurezza e l'Ordine —
Fonte: https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
![[Immagine] Il bel tempo aiuta gli studenti ad affrontare l'esame di ammissione al decimo anno con sicurezza.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
![[Foto] Il faro di Ba Lang An, l'"occhio del mare" nel "museo delle rocce" della provincia di Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
Commento (0)