Cloudflare R2

میزبانی از صفحات فیشینگ با Cloudflare R2

مطالب آموزشی محسن سلیمانی صفر دیدگاه

سوء استفاده از Cloudflare R2 برای فیشینگ

Cloudflare R2 یکی از سرویس‌های پوشش دهنده شبکه است که توسط شرکت Cloudflare ارائه و به منظور محافظت از وبسایت‌ها در برابر حملات سایبری استفاده می‌شود. این سرویس، به شرکت‌ها و وبسایت‌ها اجازه می‌دهد تا از بروز هر گونه آسیب رسانی به سیستم جلوگیری و از اطلاعات محرمانه و حساس خود محافظت کنند. اما، متأسفانه، سوء استفاده مجرمان سایبری از این سرویس نیز رخ می‌دهد. این جرمانها از Cloudflare R2 برای میزبانی صفحات فیشینگ استفاده می‌کنند.

در این مقاله در وب سایت ایران هاستینگ 24، به بررسی این نوع سوء استفاده مجرمان سایبری از Cloudflare R2 و تاثیرات آن برای کاربران خواهیم پرداخت.

Cloudflare R2 چیست؟

سایت کلودفلر Cloudflare یکی از بزرگترین سرویس دهنده های شبکه توزیع محتوا یا CDN می باشد که میتواند سرویس های خاصی تحت وب را در اختیار ما قرار دهد؛ مانند: کم شدن حجم تمامی فایل ها بر پایه IMG، ارسال پاسخ سریع به کاربران و در نتیجه لود سریع سایت را شامل میشود و امنیت صفحات وبسایت را نیز افزایش می دهد.

برای استفاده از این سرویس شما نیازی به پرداخت هزینه ندارید ولی اگر بخواهید برخی از امکانات آن را بر روی سایت خود فعال کنید به اجبار باید هزینه هایی را متقبل شوید ولی این سرویس دهنده، پلن رایگان نیز دارد و شما اگر یک کاربر و مصرف کننده ساده هستید و نیاز به امکانات خاص ندارید می توانید از پلن رایگان این سرویس استفاده کنید.

استفاده مجرمان سایبری از Cloudflare R2 برای فیشینگ

طی شش ماه گذشته، استفاده هکران از Cloudflare R2 برای میزبانی صفحات فیشینگ افزایش ۶۱ برابری داشته است. به نقل از جان مایکل محقق امنیتی Netskope، اکثر کمپین‌های فیشینگ اعتبار ورود مایکروسافت را هدف قرار می‌دهند، اگرچه برخی از صفحات Adobe ،Dropbox و سایر برنامه‌های ابری را نیز مورد هدف قرار می‌دهند. Cloudflare R2، مشابه Amazon Web Service S3، Google Cloud Storage و Azure Blob Storage، یک سرویس ذخیره‌سازی داده ابری است.

این توسعه در حالی صورت می‌گیرد که تعداد کل برنامه‌های ابری که دانلود بدافزار از آن‌ها آغاز می‌شود به ۱۶۷ مورد افزایش یافته است و مایکروسافت OneDrive، Squarespace، GitHub، SharePoint و Weebly پنج رتبه اول را به خود اختصاص داده‌ است.

کمپین‌های فیشینگ شناسایی شده توسط Netskope نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوء استفاده می‌کنند، بلکه از پیشنهاد سرویس Turnstile این شرکت که جایگزینی برای کپچا است، برای قرار دادن چنین صفحاتی در پشت موانع ضد ربات برای مقابله با شناسایی استفاده می‌کنند.

Cloudflare R2
Cloudflare R2

انجام این کار، از رسیدن اسکنرهای آنلاین مانند urlscan.io به سایت فیشینگ واقعی جلوگیری می‌کند، زیرا تست CAPTCHA با شکست مواجه می‌شود. به عنوان یک لایه اضافی برای فرار از شناسایی، سایت‌های مخرب طوری طراحی شده‌اند که محتوا را تنها در صورت رعایت شرایط خاص بارگذاری کنند.

به گفته مایکل، این وب سایت مخرب برای نمایش صفحه فیشینگ واقعی، به یک سایت ارجاعی نیاز دارد که پس از یک نماد هش در URL، یک تایم لپس در آن قرار دهد. از سوی دیگر، سایت ارجاع دهنده نیاز دارد تا یک سایت فیشینگ را به عنوان پارامتر دریافت کند.

در صورتی که هیچ پارامتر URL به سایت ارجاع دهنده ارسال نشود، بازدیدکنندگان به www.google[.]com هدایت می‌شوند. این اتفاق یک ماه پس از آن صورت می‌گیرد که شرکت امنیت سایبری جزئیات یک کمپین فیشینگ را فاش کرد و مشخص شد صفحات ورود جعلی خود را در AWS Amplify برای سرقت اطلاعات بانکی کاربران و مایکروسافت ۳۶۵ به همراه جزئیات پرداخت کارت از طریق Bot API تلگرام میزبانی می‌کرد.

سخن پایانی

در مقاله حاضر به بررسی نحوه سو استفاده از Cloudflare R2 برای میزبانی از صفحات فیشینگ پرداخته شد. امیدواریم مطالعه این مطلب برای شما مفید بوده باشد.

 

ارسال دیدگاه جدید