
ConsentFix 攻擊假冒的 Cloudflare 提示訊息
ClickFix 關於的攻擊方式已經存在了好幾十年,只不過這個名稱是新的。ClickFix 攻擊利用社會工程學來欺騙使用者,讓他們點擊被告知是為了讓他們的瀏覽器或電腦執行某個所需動作的按鈕和連結。
ClickFix 攻擊
最常見的原始 ClickFix 攻擊範例,也是名字來源的地方,是使用者故意搜尋某種他們正在遇到的電腦錯誤,例如 Windows 錯誤 1F0039a(這是我隨便編的),然後瀏覽器引擎回傳很多關於該錯誤的連結。
使用者並不知道,網路搜尋引擎的結果已經被操控(即所謂的「毒化」),因此簡單搜尋解決方案時,會高居搜尋結果的惡意網站。通常,攻擊者要麼是建立了一個偽造的網站,並在網站中反覆嵌入錯誤訊息(但這些訊息對使用者來說是不可見的),要麼是付錢給搜尋引擎供應商,讓他們的網站在特定關鍵字搜尋時出現。無論是哪一種情況,攻擊者的網站連結最終會出現在解決方案網站的高位列表中。
當使用者造訪這個惡意網站時,詐騙者會試圖透過社交工程手法,讓使用者執行對他們自己不利的行為。在大多數情況下,詐騙者會要求使用者點選一個按鈕來修復某些問題(因此有了「ClickFix」這個名字)。有時候,這個按鈕的點擊會將使用者帶到另一個惡意網站,有時會下載一份惡意的檔案或內容,還有時則會顯示出一些指示,讓使用者按照指示複製並在自己的電腦上執行。
現在,如果你聽到 ClickFix 攻擊,通常指的是一種攻擊手法,受害者不知情地被騙去將攻擊代碼複製/粘貼到自己的桌面環境中,從而在自己的電腦上執行惡意軟體。這種攻擊可以繞過防火牆、防毒掃描器和內容過濾器。
雖然有些 ClickFix 攻擊方式非常明顯,但其他的則稍微隱蔽一些。這裡有美國衛生與公共服務部提供的一些優秀 ClickFix 例子。而 Brian Krebs 也針對這類 ClickFix 例子寫了一篇很不錯的文章,在這裡可以查看。
ConsentFix 攻擊
目前流傳的最新攻擊手法被稱為 ConsentFix attacks。雖然概念相似,但更加狡猾且難以察覺。潛在受害者會被某種方式誘導到惡意網站(或是包含惡意程式碼的合法網站)。幾乎所有案例中,使用者都會被要求點擊某個物件以繼續進行。我的觀察中,幾乎所有的案例都涉及熟悉的 Cloudflare 登入「旋轉門」(請見下方)。
或 
誰沒有看過這個提示千萬次呢?Cloudflare 涉及約三分之一的熱門網站上。Cloudflare 嘗試防止分散式拒絕服務攻擊、阻止合成身份以及各式各樣的其他黑客攻擊。他們是一個非常受信賴的品牌。不過他們最近遇到了一些問題,導致全球的網站和服務宕機了好幾個小時到幾天。
在這些被 ConsentFix 破解的網站上,logo 通知完全是假的。他們希望使用者點擊 Cloudflare 的 logo,然後通常會提出一些明顯不是 Cloudflare 要求的事情,例如提示使用者執行某個可執行檔、複製並貼上一些程式碼、複製並貼上一個網址等等。驚人的是,使用者竟然會相信這是 Cloudflare 要求他們這樣做以證明他們是人類。
不過再次強調,現今他們要求使用者批准或執行的攻擊方式,已經比過去那種單純複製並貼上的十六進位編碼命令來得更為進階。例如,在這個攻擊中,命令是經過AES加密的,並且透過隱寫術藏在PNG檔案中的資料內。對於一般使用者來說,要識破這一點可真是不容易。
Push Security 發布了另一篇 進階的 ConsentFix 攻擊,該攻擊要求用戶提供電子郵件地址,然後在他們首次登入 Microsoft O365 帳號後,提示他們複製/粘貼一個延伸的網址。到底有誰會為了所謂證明自己是人類而複製一個長網址給 Cloudflare 呢?其實不會有太多人這麼做,但可能還是有足夠多的人讓駭客對此感到有信心去嘗試。如果沒有成功,他們也不會繼續使用這招。
我把看到的所有假 Cloudflare turnstile 訊息比喻成過去那些我們看到多年的假防毒軟體畫面。這些訊息無所不在,對每個人來說都相當熟悉。這些詐騙者希望大家以為這些訊息是真的。當我第一次遇到假 Cloudflare turnstile 訊息時,正好在調查我知道是真正的網路釣魚連結,當時我不確定這則 Cloudflare 訊息到底是真還是假。看起來真的很逼真。
可是它並不是。
如果還沒有告訴你的使用者,請讓他們知道真正的 Cloudflare turnstile 看起來是什麼樣子以及它的運作方式。最多,它可能會要求他們勾選一個方框。它不會要求他們複製和粘貼任何內容來證明自己是人類。這是一個非常簡單的教育方式,你可以告訴家人、朋友和同事,幫助他們避免不必要的麻煩。
朋友可不能讓朋友隨便複製/粘貼有害的程式碼!


