Мошенники проводили фишинговые атаки с помощью шлюза IPFS Cloudflare

Специалисты Bleeping Computer обнаружили, что злоумышленники используют шлюз IPFS Cloudflare для фишинговых атак. Как и Azure Blob, Cloudflare защищает подключения к шлюзу IPFS с помощью собственных сертификатов SSL. Таким образом, мошенники, расположившие в этом хранилище поддельную форму авторизации, создают иллюзию её подлинности.

Как это работает?

Злоумышленники используют шлюз IPFS для отображения сохранённого в файловой системе IPFS документа HTML.

Страница подписывается действительным сертификатом безопасности Cloudflare SSL, что убеждает пользователя в подлинности заполняемой формы.

Когда пользователь заполнит и отправит форму авторизации, введенные мобильный номер и адрес электронной почты будут отправлены на страницу в домене searchurl.bid, контролируемую мошенниками. Затем жертве показывают документ PDF с названием «Бизнес-модели, бизнес-стратегия и инновации».

Стандартная схема?

В списке URL-адресов, которые попали в базу VirusTotal и принадлежат домену searchurl.bid, находится большое количество фишинговых страниц. Самые ранние датируются июлем 2018 года. Многие них уже заблокированы, но некоторые всё ещё отображают формы авторизации Google, Windows, DocuSign и т.д. Хотя адреса этих сайтов мало похожи на настоящие, пользователь может не заметить этого и отправить свои данные злоумышленникам.

Подобный инцидент случился с хранилищем Azure Blob. В начале октября 2018 года стало известно, что мошенники точно так же использовали это хранилище для расположения в нём фишинговых форм.