Netskope 發(fā)現(xiàn)在過去的六個月中，部署在 DigitalOcean 上的惡意網(wǎng)頁流量增長了 17 倍。研究人員發(fā)現(xiàn)攻擊者模仿 Windows Defender 欺騙用戶，使用戶以為其計算機已經(jīng)被攻陷且需要技術(shù)支持，誘騙受害者撥打虛假的“求助熱線”。隨后，攻擊者遠程訪問受害者的計算機并且安裝惡意軟件，或者要求用戶支付清除感染的服務費。

除了上述詐騙行為之外，部署在 DigitalOcean 上針對各種金融機構(gòu)的釣魚網(wǎng)站也在增加。攻擊主要針對北美與歐洲，以科技行業(yè)、金融服務行業(yè)和制造業(yè)居多。

針對目標行業(yè)分布

技術(shù)支持詐騙

攻擊者模仿 Windows Defender 的告警，誘騙用戶相信其計算機已經(jīng)感染了惡意軟件。強調(diào)受害者要撥打騙子的電話，隨后遠程訪問受害者的計算機來安裝惡意軟件或者裝模作樣修復感染要求付費。研究人員認為，攻擊者通常是用惡意廣告將受害者重定向到這些詐騙頁面的。

技術(shù)支持詐騙頁面

一旦受害者打開網(wǎng)頁，瀏覽器的窗口就會自動最大化并播放以下消息的音頻：

• 重要安全警告!
• 您的計算機已經(jīng)被鎖定!
• 您的 IP 地址在您不知情或未許可的情況下被用于訪問帶有惡意軟件的網(wǎng)站。
• 想要解鎖計算機，請立即致電技術(shù)支持人員。
• 不要關(guān)閉或者重新啟動計算機，這樣做可能會導致數(shù)據(jù)丟失或者憑據(jù)盜用。
• 鎖定計算機就是為了阻止非法行為，請立即致電技術(shù)支持人員!?

攻擊者會通過各種恐嚇、誘導的手段來逼迫受害者撥打詐騙電話，例如顯示虛假 Windows 桌面與聊天工具，其中提示用戶計算機存在問題，要求用戶致電技術(shù)支持人員。

另一個詐騙頁面

攻擊者還針對不同國家部署了不同語言的詐騙頁面，這是一個多語言的攻擊行動。

日語詐騙頁面

為什么是 DigitalOcean？

DigitalOcean 允許用戶免費部署最多三個靜態(tài)網(wǎng)站。但由于詐騙頁面上的電話號碼需要動態(tài)更新，攻擊者通過 URL 中的 phone 參數(shù)來實現(xiàn)更改。攻擊者就可以通過相同的 DigitalOcean 實例來使用不同的電話號碼，而無需更改 HTML 或者腳本文件。

詐騙頁面的邏輯架構(gòu)

通過 VirusTotal 的數(shù)據(jù)，研究人員發(fā)現(xiàn)其中一個頁面與 DigitalOcean 上 87 個不同域名的 URL 存在關(guān)聯(lián)。

各種關(guān)聯(lián)的 URL

釣魚網(wǎng)站

美國第一信用合作社

攻擊者創(chuàng)建了與美國第一信用合作社（America First Credit Union）非常相似的釣魚網(wǎng)站，幾乎只是在 URL 上存在差異：

釣魚網(wǎng)站與原始網(wǎng)站

一旦受害者提交了登錄信息，受害者就會要求提供更多的個人信息，例如出生日期、社會安全號碼、住址等。

要求提供更多信息的釣魚網(wǎng)站

用戶輸入數(shù)據(jù)后，釣魚網(wǎng)站會要求提供借記卡卡號、到期日期、CVV 碼與借記卡密碼。

要求提供借記卡信息的釣魚網(wǎng)站

釣魚網(wǎng)站模擬第三方登錄，還要竊取受害者的電子郵件地址與密碼。借此途徑，攻擊者還具備了應對雙因子認證的能力。根據(jù)受害者使用的郵箱不同，會使用不同的登錄頁面。

模擬谷歌登錄

模擬微軟登錄

如果是攻擊者預期外的郵箱服務，釣魚頁面使用與 Gmail 相同的布局，但不使用 Google 的徽標。

模擬未知電子郵件登錄

最后，攻擊者將受害者重定向到合法網(wǎng)站去。

原始網(wǎng)站

亨廷頓國家銀行

與前述的情況基本類似，釣魚網(wǎng)站如下所示：

模仿亨廷頓國家銀行的釣魚網(wǎng)站

竊取用戶名與密碼后，要求受害者發(fā)送一次性密碼來繞過雙因子認證。

要求發(fā)送一次性密碼的釣魚網(wǎng)站

要求提供郵箱登錄信息的釣魚網(wǎng)站

要求提供借記卡信息的釣魚網(wǎng)站

要求提供個人信息的釣魚網(wǎng)站

要求提供身份證或駕照信息的釣魚網(wǎng)站

在完成各種信息的竊取后，將用戶重定向到合法的原始網(wǎng)站。

原始網(wǎng)站

Truist Financial 銀行

釣魚網(wǎng)站

IONOS 郵箱

IONOS 網(wǎng)絡郵箱服務是攻擊者唯一不針對金融機構(gòu)發(fā)起的攻擊，只是獲取電子郵件憑據(jù)。

釣魚網(wǎng)站

結(jié)論

詐騙與網(wǎng)絡釣魚一直經(jīng)久不衰，攻擊者會不斷找尋各種新的方法來攻擊受害者。盡管 DigitalOcean 接到安全人員的報告后迅速處理了這些網(wǎng)站，但攻擊者仍然在不斷創(chuàng)建新的網(wǎng)站進行攻擊。