Hakerzy wykorzystują YouTube i Cloudflare w atakach phishingowych

Atakujący wykorzystują linki atrybucji z YouTube oraz CAPTCHA firmy Cloudflare, aby uniknąć wykrycia. Według firmy zajmującej się cyberbezpieczeństwem, Vade, wykorzystanie linków atrybucji z YouTube jest nową taktyką obejścia filtrów e-mailowych, które skanują podejrzane przekierowania. W nowo odkrytej kampanii phishingowej ofiary otrzymują sfałszowaną wiadomość e-mail informującą o wygaśnięciu hasła do Microsoft 365. E-mail jest spersonalizowany i skontekstualizowany, aby stworzyć iluzję legalności.

Badacze zauważyli, że e-mail nie zawiera błędów ortograficznych ani gramatycznych, które kiedyś były pierwszym sygnałem ostrzegawczym przed oszustwem. Poniżej informacji o rzekomo wygasłym haśle jest opcja, która pozwala ofiarom zachować swoje aktualne hasło. Przycisk, który jest hiperłączem do adresu URL YouTube, ostatecznie przekierowuje użytkowników na stronę phishingową.

„Jeśli użytkownicy klikną przycisk w e-mailu phishingowym, zostaną szybko przekierowani na YouTube, a następnie na stronę internetową z CAPTCHA firmy Cloudflare. Prawdopodobieństwo jest takie, że strona jest hostowana na Cloudflare i korzysta z usług URL crawling i ochrony przed botami” – powiedział Vade.

Po kliknięciu CAPTCHA użytkownikom przedstawiana jest fałszywa strona Microsoft 365, która wymaga od nich zalogowania się, co pozwala na pozyskanie przez cyberprzestępców ich danych uwierzytelniających i przejęcie konta.

„Hakerzy próbują wykorzystać legalne usługi do rozpowszechniania phishingu, aby ominąć klasyczne rozwiązania bezpieczeństwa e-mailowego oparte na reputacji. Wykorzystują zarówno YouTube, jak i Cloudflare, które potencjalnie znajdują się na białej liście wielu bramek e-mailowych” – powiedział Vade.

Firma zauważyła ponad 1000 wiadomości e-mail w ciągu ostatniego miesiąca, co sugeruje, że ataki z wykorzystaniem tego sposobu są na porządku dziennym i należy zachować ostrożność podczas korzystania z e-maila.