Część 1: Oszustwo związane z pracownikami Cloudflare
Badacze cyberbezpieczeństwa ostrzegają przed kilkoma kampaniami phishingowymi wykorzystującymi Cloudflare Workers do zbierania danych logowania użytkowników. Te witryny phishingowe atakują użytkowników takich usług jak Microsoft, Gmail, Yahoo! i cPanel Webmail.
W tym przypadku atakujący zastosował technikę zwaną „ Adversary-in-the- Middle” (AitM). Do przeprowadzenia ataku atakujący wykorzystał serwer Cloudflare Workers jako fałszywy serwer pośredniczący. Gdy użytkownik uzyskał dostęp do legalnej strony logowania, Cloudflare Workers przechwytywał i przesyłał dane między użytkownikiem a prawdziwą stroną logowania.
Zasadniczo ten typ ataku przebiega w czterech następujących krokach:
- Krok 1: Haker wysyła użytkownikowi wiadomości e-mail typu phishing.
Atakujący wysyłają wiadomości phishingowe zawierające linki do fałszywych stron internetowych. Wiadomości te mogą pochodzić z zaufanego źródła i zawierać treści zachęcające użytkowników do kliknięcia w link.
- Krok 2: Użytkownik klika wiadomość e-mail i zostaje przekierowany na stronę phishingową, która działa za pośrednictwem Cloudflare.
Użytkownicy otrzymują e-maile i klikają w zawarte w nich linki, które prowadzą do fałszywej witryny. Ta witryna jest hostowana w Cloudflare Workers, więc żądania użytkowników przechodzą przez Cloudflare Workers.
- Krok 3: Cloudflare przekazuje żądanie użytkownika do legalnej witryny.
Gdy użytkownik wprowadza dane logowania na fałszywej stronie internetowej, Cloudflare Workers rejestruje te informacje (w tym nazwę użytkownika, hasło i kod uwierzytelniania dwuskładnikowego, jeśli dotyczy). Następnie Cloudflare Workers przekazuje to żądanie do legalnej strony internetowej. Użytkownicy nadal mogą logować się do legalnej strony internetowej, nie zauważając żadnej różnicy.
- Krok 4: Cloudflare rejestruje informacje o użytkowniku i wysyła je hakerowi.
Pracownicy Cloudflare rejestrują dane logowania użytkownika i wysyłają je atakującemu. Atakujący może następnie wykorzystać te informacje do uzyskania dostępu do konta użytkownika i przeprowadzenia szkodliwych działań.
Część 2: Technika przemytu HTML i strategie gromadzenia informacji logowania
Przemyt HTML to wyrafinowana metoda ataku, która pozwala atakującym na ukryte tworzenie stron phishingowych bezpośrednio w przeglądarce użytkownika.
Zasadniczo atak HTML Smuggling przebiega w następujących pięciu głównych krokach:
- Krok 1: Atakujący wysyła wiadomość e-mail typu phishing.
Atakujący tworzy wiadomość e-mail typu phishing, podszywając się pod zaufane źródło, takie jak organizacja lub usługa, z której ofiara często korzysta. Taka wiadomość zawiera złośliwy link lub załącznik HTML. Treść wiadomości e-mail często zawiera perswazyjną lub pilną wiadomość, mającą na celu nakłonienie ofiary do otwarcia linku lub załącznika, na przykład powiadomienie o zablokowanym koncie lub ważnym dokumencie wymagającym natychmiastowej uwagi.
- Krok 2: Użytkownik otrzymuje wiadomość e-mail i otwiera link/załącznik.
Użytkownicy otrzymują wiadomości phishingowe i niczego niepodejrzewający klikają w link lub otwierają załącznik HTML. W takim przypadku przeglądarka ładuje i uruchamia złośliwy kod JavaScript zawarty w pliku HTML lub linku. Kod ten jest zaprojektowany tak, aby działał bezpośrednio w przeglądarce użytkownika, bez konieczności pobierania dodatkowego oprogramowania.
- Krok 3: Kod JavaScript tworzy stronę phishingową bezpośrednio w przeglądarce użytkownika.
Złośliwy kod JavaScript automatycznie generuje stronę phishingową i wyświetla ją w przeglądarce użytkownika. Taka strona phishingowa często wygląda bardzo podobnie do legalnej strony logowania usługi online, takiej jak Microsoft, Gmail lub innej usługi, z której ofiara regularnie korzysta. Dzięki temu ofiara nie zdaje sobie sprawy, że znajduje się na fałszywej stronie.
- Krok 4: Użytkownik wpisuje swoje dane logowania na stronie phishingowej.
Niewątpliwie użytkownicy podają swoje dane logowania na stronie phishingowej. Obejmuje to nazwy użytkowników, hasła, a nawet kody uwierzytelniania dwuskładnikowego (MFA), jeśli są wymagane. Strona phishingowa została zaprojektowana tak, aby potajemnie rejestrować wszystkie te informacje.
- Krok 5: Informacje logowania są wysyłane na serwer hakera.
Gdy użytkownik wprowadzi swoje dane logowania na stronie phishingowej, złośliwy kod JavaScript wysyła te informacje na serwer hakera. Pozwala to atakującemu na zdobycie danych logowania ofiary, w tym nazwy użytkownika, hasła i kodu uwierzytelniania dwuskładnikowego. Dzięki tym informacjom atakujący może uzyskać nieautoryzowany dostęp do konta ofiary.
Część 3: Zalecenia dla użytkowników dotyczące środków zapobiegawczych
Aby chronić się przed coraz bardziej wyrafinowanymi metodami cyberataków, o których wspomniano powyżej, użytkownicy muszą podjąć szereg działań zapobiegawczych, aby zminimalizować ryzyko. Oto kilka ważnych zaleceń:
- Podnoszenie świadomości na temat cyberbezpieczeństwa
W dzisiejszym środowisku cyfrowym metody cyberataków stale ewoluują i stają się coraz bardziej wyrafinowane. Dlatego regularne aktualizowanie wiedzy o najnowszych zagrożeniach cyberbezpieczeństwa jest niezwykle ważne. Użytkownicy powinni proaktywnie korzystać z wiarygodnych i aktualnych źródeł informacji, aby zrozumieć zagrożenia i wiedzieć, jak im zapobiegać.
- Korzystanie z uwierzytelniania dwuskładnikowego (2FA):
Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę bezpieczeństwa. Nawet jeśli atakujący zdobędzie Twoje dane logowania, nadal będzie potrzebował drugiego kodu weryfikacyjnego, aby uzyskać dostęp do Twojego konta.
- Zawsze sprawdzaj i weryfikuj, zanim podejmiesz jakiekolwiek działanie.
Przed kliknięciem sprawdź dokładnie wszystkie załączniki i linki.
PRZEMYŚL DOKŁADNIE ZANIM KLIKNIESZ MYSZKĄ!!!
- Użyj oprogramowania antywirusowego.
Oprogramowanie antywirusowe skanuje i wykrywa różne rodzaje złośliwego oprogramowania, takie jak wirusy, konie trojańskie, ransomware, spyware i inne zagrożenia. Po wykryciu usuwa lub izoluje złośliwe oprogramowanie, aby chronić system.
W dzisiejszej erze cyfrowej metody cyberataków stają się coraz bardziej wyrafinowane i trudne do wykrycia. Zrozumienie i zapobieganie kampaniom phishingowym wykorzystującym Cloudflare Workers i HTML Smuggling jest kluczowe. Aby się chronić, użytkownicy muszą regularnie aktualizować swoją wiedzę na temat cyberbezpieczeństwa, korzystać z menedżerów haseł, instalować oprogramowanie antywirusowe i wdrażać uwierzytelnianie dwuskładnikowe. Środki te nie tylko pomagają chronić dane osobowe, ale także przyczyniają się do zwiększenia cyberbezpieczeństwa całej społeczności.
— Opracowane przez Komisję Bezpieczeństwa i Porządku —
Źródło: https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
![[Zdjęcie] Przyjęcie powitalne dla Sekretarza Generalnego i Prezydenta To Lama oraz jego żony podczas ich wizyty państwowej na Filipinach](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
Komentarz (0)