Часть 1: Фишинговая кампания с использованием Cloudflare Workers
Исследователи в области кибербезопасности предупреждают о нескольких фишинговых кампаниях, в которых для сбора учетных данных пользователей используются Cloudflare Workers. Эти фишинговые сайты нацелены на пользователей таких сервисов, как Microsoft, Gmail, Yahoo! и cPanel Webmail.
В данном случае злоумышленник использовал технику под названием «Противник посередине» ( AitM ). Для осуществления атаки злоумышленник использует Cloudflare Workers в качестве поддельного промежуточного сервера. Когда пользователь посещает законную страницу входа, Cloudflare Workers перехватывают и пересылают данные между пользователем и реальной страницей входа.
По сути, эта атака будет осуществляться в следующие 4 этапа:
- Шаг 1: Хакер отправляет фишинговое письмо пользователю
Злоумышленники рассылают фишинговые письма, содержащие ссылки на поддельные сайты. Это электронное письмо может выдавать себя за надежный источник и содержать сообщение, убеждающее пользователя нажать на ссылку.
- Шаг 2: Пользователь нажимает на ссылку электронной почты и перенаправляется на фишинговый сайт через Cloudflare.
Пользователь получает электронное письмо и нажимает на ссылку в письме, которая перенаправляет его на поддельный веб-сайт. Этот сайт размещен на Cloudflare Workers, поэтому запросы пользователей проходят через Cloudflare Workers.
- Шаг 3: Cloudflare перенаправляет запрос пользователя на легитимный веб-сайт.
Когда пользователь вводит свои данные для входа на поддельный сайт, Cloudflare Workers перехватывает эти данные (включая имя пользователя, пароль и код двухфакторной аутентификации, если применимо). Затем сотрудники Cloudflare Workers пересылают этот запрос на законный веб-сайт. Пользователи по-прежнему могут входить на настоящий сайт, не замечая разницы.
- Шаг 4: Cloudflare записывает информацию о пользователях и отправляет ее хакерам
Cloudflare Workers записывает данные для входа пользователя и отправляет их злоумышленнику. Затем злоумышленник может использовать эту информацию для доступа к учетной записи пользователя и выполнения вредоносных действий.
Часть 2: Методы контрабанды HTML и стратегии сбора учетных данных
HTML-контрабанда — это сложный метод атаки, который злоумышленники используют для скрытного создания мошеннических страниц прямо в браузере пользователя.
По сути, атака HTML Smuggling происходит в 5 основных этапов:
- Шаг 1: Злоумышленник отправляет фишинговое письмо
Злоумышленник создает фишинговое письмо, выдавая себя за письмо от надежного источника, например организации или сервиса, которым жертва регулярно пользуется. Это письмо содержит вредоносную ссылку или HTML-вложение. Содержимое электронного письма часто включает убедительное или срочное сообщение, призванное побудить жертву открыть ссылку или вложение, например, уведомление о заблокированной учетной записи или важный документ, который необходимо просмотреть немедленно.
- Шаг 2: Пользователь получает электронное письмо и открывает ссылку/вложение.
Пользователь получает фишинговое письмо и, ничего не подозревая, нажимает на ссылку или открывает HTML-вложение. При этом браузер пользователя загрузит и выполнит вредоносный код JavaScript, содержащийся в HTML-файле или ссылке. Этот код предназначен для работы непосредственно в браузере пользователя без необходимости загрузки какого-либо дополнительного программного обеспечения.
- Шаг 3: Код JavaScript создает фишинговую страницу прямо в браузере пользователя.
Вредоносный код JavaScript автоматически генерирует фишинговую страницу и отображает ее в браузере пользователя. Эта фишинговая страница часто выглядит очень похожей на настоящую страницу входа в онлайн-сервис, такой как Microsoft, Gmail или любой другой сервис, которым обычно пользуется жертва. Из-за этого жертва не осознает, что находится на поддельном сайте.
- Шаг 4: Пользователь вводит данные для входа на фишинговый сайт.
Ничего не подозревая, пользователь вводит свои учетные данные на фишинговом сайте. Сюда входит ваше имя пользователя, пароль и, возможно, код двухфакторной аутентификации (MFA), если требуется. Мошеннический сайт создан для тайной записи всей этой информации.
- Шаг 5: Данные для входа отправляются на сервер хакера.
Когда пользователь вводит свои данные для входа на фишинговой странице, вредоносный код JavaScript отправляет эту информацию на сервер хакера. Это позволяет злоумышленнику собрать учетные данные жертвы, включая имя пользователя, пароль и код двухфакторной аутентификации. Используя эту информацию, злоумышленник может получить несанкционированный доступ к аккаунту жертвы.
Часть 3: Рекомендации пользователю по мерам предосторожности
Чтобы защитить себя от все более изощренных кибератак, о которых упоминалось выше, пользователям необходимо принять некоторые меры предосторожности, чтобы минимизировать риск. Вот несколько важных рекомендаций:
- Повышение осведомленности о кибербезопасности
В современной цифровой среде методы кибератак постоянно развиваются и становятся все более изощренными. Поэтому крайне важно регулярно обновлять знания о новейших угрозах кибербезопасности. Пользователи должны активно отслеживать авторитетные и обновленные источники информации, чтобы понимать риски и знать, как их предотвратить.
- Используйте двухфакторную аутентификацию (2FA):
Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности. Даже если злоумышленник получит ваши данные для входа, ему все равно понадобится второй код аутентификации для доступа к вашей учетной записи.
- Всегда проверяйте и перепроверяйте, прежде чем предпринимать какие-либо действия.
Перед нажатием дважды проверьте все вложения и ссылки.
ТЩАТЕЛЬНО ПОДУМАЙТЕ, ПРЕЖДЕ ЧЕМ КЛИКНУТЬ!!!
- Используйте антивирусное программное обеспечение
Антивирусное программное обеспечение способно сканировать и обнаруживать различные типы вредоносных программ, такие как вирусы, трояны, программы-вымогатели, шпионское ПО и другие угрозы. При обнаружении вредоносное ПО удаляется или помещается в карантин для защиты вашей системы.
В современную цифровую эпоху кибератаки становятся все более изощренными и труднее поддающимися обнаружению. Важно понимать и защищаться от фишинговых кампаний, использующих Cloudflare Workers и HTML Smuggling. Чтобы защитить себя, пользователям необходимо регулярно обновлять свои знания в области кибербезопасности, использовать менеджер паролей, устанавливать антивирусное программное обеспечение и применять двухфакторную аутентификацию. Эти меры не только помогают защитить персональные данные, но и способствуют повышению кибербезопасности всего сообщества.
— Департамент общей безопасности —
Источник: https://www. misa .vn/147167/decoding-modern-phishing-attack-techniques-from-cloudflare-workers-to-html-smuggling/
![[Фото] Научный семинар «Построение социалистической модели, связанной с социалистическим народом в городе Хайфон в период 2025-2030 гг. и последующие годы»](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/21/5098e06c813243b1bf5670f9dc20ad0a)
![[Фото] Премьер-министр Фам Минь Чинь принимает президента Азиатско-Тихоокеанского региона PowerChina Group](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/21/0f4f3c2f997b4fdaa44b60aaac103d91)
![[Фото] Премьер-министр Фам Минь Чинь принимает раввина Йоава Бен Цура, министра труда Израиля](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/21/511bf6664512413ca5a275cbf3fb2f65)
![[Фото] Определение пар в командном полуфинале Национального чемпионата по настольному теннису газеты Nhan Dan](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/21/eacbf7ae6a59497e9ae5da8e63d227bf)
Комментарий (0)