Popüler bir web dağıtım platformu olan Cloudflare Pages, tehdit aktörleri tarafından kimlik avı sitelerini barındırmak için kullanılırken, saldırganlar ikna edici kimlik avı sitelerini hızlı bir şekilde kurup dağıtmak için Cloudflare’in güvenilir altyapısından, küresel CDN’den ve ücretsiz barındırmadan yararlanıyor.
Otomatik SSL/TLS şifrelemesi sitelerin meşruiyetini artırırken, özel alan adları ve URL maskeleme sitelerin kötü niyetli doğasını daha da gizler. Cloudflare’in ters proxy oluşturma yetenekleri, saldırı kaynağının izlenebilirliğini engelleyerek güvenlik önlemlerinin bu tehditleri tespit etmesini ve azaltmasını zorlaştırır.
Kimlik avı saldırganları, gerçek kötü amaçlı URL’yi güvenlik önlemlerinden gizleyerek meşru görünmesini sağlayan aracı yönlendirmeleri barındırmak için Cloudflare Pages.dev’i kötüye kullanıyor.
Saldırı, genellikle sahte bir PDF biçiminde bir bağlantı içeren bir kimlik avı e-postasıyla başlar; burada bağlantıya tıklandığında kullanıcı Cloudflare Pages sitesine yönlendirilir ve bu site de onları kimlik bilgilerini çalmak için tasarlanmış gerçek kimlik avı sayfasına yönlendirir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Saldırganlar, tespit edilmekten daha fazla kaçınmak için alıcı listelerini gizlemek amacıyla CC yerine BCC alanlarını kullanıyor ve bu da kampanyanın kapsamının değerlendirilmesini zorlaştırıyor.
Saldırgan, kullanıcıları ilk önce “Şimdi İncele” düğmesiyle ikna ederek çok aşamalı bir kimlik avı saldırısı kullanıyor; bu düğme tıklandığında görünüşte meşru bir Microsoft OneDrive sayfasına yönlendiriyor.
Ancak OneDrive’da barındırılan belge aslında aldatıcı bir şirket teklifidir. Saldırgan, saldırıyı daha da meşrulaştırmak için “Aç” düğmesi görünümüne bürünmüş bir Cloudflare Sayfaları URL’si kullanır.
Kullanıcı, tıklandığında kimlik bilgilerini çalmak üzere tasarlanmış kötü amaçlı bir Microsoft Office365 oturum açma sayfasına yönlendirilir; bu sayfa, kuruluşları veri ihlalleri, iş e-postalarının ele geçirilmesi ve potansiyel sistem tehlikeleri dahil olmak üzere çeşitli güvenlik risklerine maruz bırakabilir.
Sunucusuz bir platform olan Cloudflare Workers, geliştiricilerin Cloudflare ağının ucunda JavaScript kodunu yürütmesine olanak tanır. Bu, performansı ve güvenliği artırabilse de aynı zamanda bir risk de oluşturur.
Kötü niyetli aktörler, potansiyel olarak hassas bilgileri çalabilecek, DDoS saldırıları başlatabilecek veya kullanıcı cihazlarını tehlikeye atabilecek geleneksel güvenlik önlemlerini atlayarak kötü amaçlı kod dağıtmak için bu platformdan yararlanabilir.
Çalışanlar karmaşık kimlik avı saldırıları başlatmak için kullanılabilir. Saldırganlar, yanıltıcı bir insan doğrulama sayfası oluşturarak kurbanları meşru bir web sitesiyle etkileşimde olduklarına inandırabilirler.
Bir kullanıcı doğrulamayı geçtikten sonra, Microsoft Office365 kimlik bilgileri ve PII gibi hassas bilgileri çalmak üzere tasarlanmış, kurbanların dikkatini azaltmak ve saldırının başarı oranını artırmak için güvenlik önlemlerinin aşinalığından yararlanan kötü amaçlı bir kimlik avı sitesine yönlendirilir.
Fortra’nın SEA ekibinden alınan son veriler, Cloudflare Sayfalarını ve Cloudflare Çalışanlarını hedef alan kimlik avı saldırılarında önemli bir artış olduğunu gösteriyor; burada Cloudflare Sayfaları 2024’te saldırılarda %198’lik bir artış görürken Cloudflare Çalışanları %104’lük bir artış yaşadı.
Siber suçlular, Cloudflare’in güvenlik önlemlerini aşarak kimlik avı saldırıları başlatmak için bu platformlardan yararlanıyor.
Kullanıcıların ve geliştiricilerin bu saldırılarla ilişkili riskleri azaltmak için dikkatli olmaları, web sitesinin meşruiyetini doğrulamaları, 2FA’yı etkinleştirmeleri ve güçlü güvenlik uygulamaları uygulamaları tavsiye edilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın