Un raport de securitate publicat în această săptămână dezvăluie că infrastructura Cloudflare protejează aproximativ 68% din toate operațiunile de phishing active, ridicând îngrijorări cu privire la modul în care infractorii cibernetici exploatează serviciile cloud legitime pentru a desfășura atacuri sofisticate la scară largă.
Firma de securitate SicuraNext a publicat o cercetare pe 2 decembrie identificând 17.202 din cele 25.305 domenii malițioase urmărite care operează prin rețeaua Cloudflare. Analiza, care a validat peste 42.000 de URL-uri care servesc activ kituri de phishing, infrastructură de comandă și control și încărcături malițioase, a descoperit că atacatorii își concentrează operațiunile pe AS13335, sistemul autonom principal al Cloudflare.
Cercetarea indică faptul că infractorii preferă serviciile gratuite ale Cloudflare, care oferă acces fără costuri la protecție DDoS și capacități proxy care maschează serverele de găzduire reale. Alți furnizori cloud care găzduiesc infrastructură de phishing includ Google Cloud Platform cu 13,5%, Amazon Web Services cu 8,6% și Microsoft Azure cu 5,4%.
Domeniile malițioase au demonstrat o rată medie de rezoluție DNS de 96,16%, indicând o infrastructură extrem de stabilă menținută cu fiabilitate la nivel enterprise. SicuraNext a identificat 20 de clustere de phishing distincte care partajează amprente de infrastructură identice, intervale IP rotative și modele de evaziune corespunzătoare, sugerând operațiuni coordonate mai degrabă decât atacuri izolate.
Aproximativ 60% dintre indicatorii observați sunt conectați la platforme Phishing-as-a-Service, care operează ca întreprinderi criminale bazate pe abonament, oferind infrastructură completă de atac, inclusiv hosting, șabloane și pipeline-uri de exfiltrare a datelor. Analiza a constatat că 72% dintre domenii au utilizat obfuscarea prin servicii legitime, inclusiv Vercel, GitHub Pages, GoDaddy și Webflow.
Ocolirea autentificării multi-factor
Cea mai îngrijorătoare evoluție implică instrumente sofisticate precum EvilProxy și Tycoon 2FA care ocolesc protecțiile de autentificare cu mai mulți factori. Aceste platforme funcționează ca proxy-uri adversar-în-mijloc, interceptând acreditările utilizatorilor și cookie-urile de sesiune în timpul autentificării la servicii legitime.
Firma de securitate Barracuda a raportat detectarea a peste un milion de atacuri Phishing-as-a-Service la începutul anului 2025, Tycoon 2FA fiind utilizat în 89% din campaniile observate în februarie. Aceste kituri încorporează tehnologii avansate de evaziune, inclusiv geofencing pentru a bloca cercetătorii în securitate, mascare bazată pe user-agent și filtre Cloudflare CAPTCHA pentru a evita scanerele automate.
Cloudflare și Microsoft au perturbat anterior operațiunea de phishing RaccoonO365 în septembrie, confiscând 338 de site-uri web. Cu toate acestea, critici, inclusiv organizația anti-abuz Spamhaus, au exprimat dezamăgire față de răspunsul general al Cloudflare la rapoartele de abuz, observând timpi lenți de eliminare pentru site-urile de phishing evidente.
