Netskope 發現在過去的六個月中，部署在 DigitalOcean 上的惡意網頁流量增長了 17 倍。研究人員發現攻擊者模仿 Windows Defender 欺騙用戶，使用戶以為其計算機已經被攻陷且需要技術支持，誘騙受害者撥打虛假的“求助熱線”。隨后，攻擊者遠程訪問受害者的計算機并且安裝惡意軟件，或者要求用戶支付清除感染的服務費。

除了上述詐騙行為之外，部署在 DigitalOcean 上針對各種金融機構的釣魚網站也在增加。攻擊主要針對北美與歐洲，以科技行業、金融服務行業和制造業居多。

針對目標行業分布

技術支持詐騙

攻擊者模仿 Windows Defender 的告警，誘騙用戶相信其計算機已經感染了惡意軟件。強調受害者要撥打騙子的電話，隨后遠程訪問受害者的計算機來安裝惡意軟件或者裝模作樣修復感染要求付費。研究人員認為，攻擊者通常是用惡意廣告將受害者重定向到這些詐騙頁面的。

技術支持詐騙頁面

一旦受害者打開網頁，瀏覽器的窗口就會自動最大化并播放以下消息的音頻：

• 重要安全警告!
• 您的計算機已經被鎖定!
• 您的 IP 地址在您不知情或未許可的情況下被用于訪問帶有惡意軟件的網站。
• 想要解鎖計算機，請立即致電技術支持人員。
• 不要關閉或者重新啟動計算機，這樣做可能會導致數據丟失或者憑據盜用。
• 鎖定計算機就是為了阻止非法行為，請立即致電技術支持人員!?

攻擊者會通過各種恐嚇、誘導的手段來逼迫受害者撥打詐騙電話，例如顯示虛假 Windows 桌面與聊天工具，其中提示用戶計算機存在問題，要求用戶致電技術支持人員。

另一個詐騙頁面

攻擊者還針對不同國家部署了不同語言的詐騙頁面，這是一個多語言的攻擊行動。

日語詐騙頁面

為什么是 DigitalOcean？

DigitalOcean 允許用戶免費部署最多三個靜態網站。但由于詐騙頁面上的電話號碼需要動態更新，攻擊者通過 URL 中的 phone 參數來實現更改。攻擊者就可以通過相同的 DigitalOcean 實例來使用不同的電話號碼，而無需更改 HTML 或者腳本文件。

詐騙頁面的邏輯架構

通過 VirusTotal 的數據，研究人員發現其中一個頁面與 DigitalOcean 上 87 個不同域名的 URL 存在關聯。

各種關聯的 URL

釣魚網站

美國第一信用合作社

攻擊者創建了與美國第一信用合作社（America First Credit Union）非常相似的釣魚網站，幾乎只是在 URL 上存在差異：

釣魚網站與原始網站

一旦受害者提交了登錄信息，受害者就會要求提供更多的個人信息，例如出生日期、社會安全號碼、住址等。

要求提供更多信息的釣魚網站

用戶輸入數據后，釣魚網站會要求提供借記卡卡號、到期日期、CVV 碼與借記卡密碼。

要求提供借記卡信息的釣魚網站

釣魚網站模擬第三方登錄，還要竊取受害者的電子郵件地址與密碼。借此途徑，攻擊者還具備了應對雙因子認證的能力。根據受害者使用的郵箱不同，會使用不同的登錄頁面。

模擬谷歌登錄

模擬微軟登錄

如果是攻擊者預期外的郵箱服務，釣魚頁面使用與 Gmail 相同的布局，但不使用 Google 的徽標。

模擬未知電子郵件登錄

最后，攻擊者將受害者重定向到合法網站去。

原始網站

亨廷頓國家銀行

與前述的情況基本類似，釣魚網站如下所示：

模仿亨廷頓國家銀行的釣魚網站

竊取用戶名與密碼后，要求受害者發送一次性密碼來繞過雙因子認證。

要求發送一次性密碼的釣魚網站

要求提供郵箱登錄信息的釣魚網站

要求提供借記卡信息的釣魚網站

要求提供個人信息的釣魚網站

要求提供身份證或駕照信息的釣魚網站

在完成各種信息的竊取后，將用戶重定向到合法的原始網站。

原始網站

Truist Financial 銀行

釣魚網站

IONOS 郵箱

IONOS 網絡郵箱服務是攻擊者唯一不針對金融機構發起的攻擊，只是獲取電子郵件憑據。

釣魚網站

結論

詐騙與網絡釣魚一直經久不衰，攻擊者會不斷找尋各種新的方法來攻擊受害者。盡管 DigitalOcean 接到安全人員的報告后迅速處理了這些網站，但攻擊者仍然在不斷創建新的網站進行攻擊。