数位安全警示：Cloudflare网域的钓鱼攻击激增

重要观察要点

• 2023年至2024年间，利用Cloudflare网域的钓鱼攻击案例激增逾两倍。
• Cybercriminals正在攫取Cloudflare的Pages及Workers服务，来建立看似合法的钓鱼页面。
• 这些攻击中有很多利用虚假Microsoft登入页面来诱骗潜在受害者，并通过电子邮件进行广泛传播。

根据Fortra近日发布的报告，在2023年至2024年间，利用Cloudflare网域进行的钓鱼攻击案例暴增逾两倍。Cloudflare的Pages和Workers服务，以及其对应的pages.dev和workers.dev网域，通常由开发者用于测试和部署使用Cloudflare基础设施的网站和应用程序，但却被威胁行为者利用来托管钓鱼页面，利用Cloudflare的合法资源进行攻击。

CloudflarePages允许用户免费在pages.dev网域上托管静态网站，通过Cloudflare的全球内容交付网络（CDN）提供内容，并确保SSL/TLS加密，从而保障全球快速的加载时间和安全的HTTPS连接。这些功能对开发者来说非常有益，但也被网络罪犯利用来轻易发动钓鱼攻击，让其恶意网站看起来对终端用户和URL过滤安全系统都是合法的。

Fortra观察到，攻击者在使用pages.dev网站的过程中，会将用户重定向到仿冒Microsoft登入页面的钓鱼网站，并通过电子邮件发送钓鱼连结，促使目标下载与工作相关的文档。在一个攻击中，链接的PDF文档将用户重定向至MicrosoftOneDrive页面，并进一步提示用户打开「公司提案」文档。点击「打开」按钮实际上会将用户重定向至一个pages.dev页面，该页面最终会重定向到伪造的登入网站。

Fortra的研究人员还注意到，该攻击者在此活动中使用了bccfoldering来隐藏他们的攻击性质，因为bcc字段隐藏了收件人列表（即其余目标）。

在2023年，Fortra的可疑电子邮件分析（SEA）团队观察到460起涉及CloudflarePages滥用的钓鱼电子邮件事件，而到2024年中旬，这一数字几乎增至1370起，增幅惊人。Fortra的团队表示，按每月137起的速度，全年攻击总数可能会增至超过1600起，年增长率达257%。

Cloudflare Workers也有免费计划，可提供无伺服器运算，让开发者在CloudflareCDN边缘运行JavaScript，但也被攻击者用来实施钓鱼行骗。这项服务使得客户端代码的执行成为可能，这虽然能大幅提高网页应用的性能，但同时也使攻击者更容易逃避网络防御，Foretra指出。

例如，Fortra发现攻击者在workers.dev网域上托管了一个虚假的MicrosoftOffice365登入页面，该页面还包含了一个类似于CAPTCHA的人类验证页面，进一步增加了钓鱼页面的合法性。CloudflareWorkers也被用来进行，该服务作为反向代理，拦截敏感信息传输，然后通过workers.dev网域反映给受害者，这一点在Netskope今年早些时候的报告中有提及。

Fortra的SEA团队在2024年检测到约5000起滥用CloudflareWorkers进行钓鱼的事件，较2023年的2447起增长了104%。如果这些攻击以接近每