Một chiến dịch lừa đảo trực tuyến quy mô lớn vừa được phát hiện đã bí mật khai thác hạ tầng của Google Cloud và Cloudflare từ năm 2021. Nhóm tấn công đã dựng hơn 48.000 máy chủ ảo trên 86 cụm hạ tầng, sử dụng tên miền hết hạn hoặc bị lãng quên để tạo ra các website giả mạo thương hiệu lớn, trong đó có Lockheed Martin. Người dùng truy cập có thể bị dẫn đến trang cờ bạc hoặc tải về mã độc mà không hề hay biết.
Kẻ tấn công đã mua lại tên miền hết hạn, triển khai trên Google Cloud hoặc Cloudflare để tận dụng uy tín hạ tầng. Với kỹ thuật cloaking, hệ thống sẽ hiển thị website hợp pháp với công cụ tìm kiếm hoặc IP giám sát, trong khi người dùng thông thường bị chuyển hướng sang nội dung độc hại. Phương thức SEO này giúp chiến dịch né tránh phát hiện, cải thiện thứ hạng tìm kiếm và duy trì khả năng tiếp cận.
Deep Specter cảnh báo nhiều thương hiệu không nhận ra rằng bản sao giả mạo vẫn hoạt động trên cùng hệ thống cloud, gây nguy cơ vi phạm GDPR, DMCA, FTC và SEC. Đáng chú ý, hơn 265 cảnh báo công khai bị bỏ qua, cho thấy các nhà cung cấp cloud chưa xử lý triệt để tình trạng lạm dụng hạ tầng.
Nếu không áp dụng các biện pháp mạnh như giám sát lưu lượng HTTP, cảnh báo gia hạn tên miền, và hệ thống gỡ bỏ theo dấu vân tay thời gian thực, các nền tảng cloud sẽ tiếp tục là “đồng phạm” bất đắc dĩ cho một trong những chiến dịch phishing dài hơi và tinh vi nhất trên Internet.
