Google e Cloudflare expõem esquema de phishing em grande escala

São Paulo — InkDesign News — Um esquema de “phishing como serviço” (PhaaS) operou durante mais de três anos sem ser detectado nas plataformas Google Cloud e Cloudflare, afetando um grande número de empresas.

Vetor de ataque

Pesquisadores da Deep Specter Research descobriram uma operação de phishing que abusou de domínios expirados de “alta confiança”, utilizando infraestruturas de nuvem para clonar sites de marcas renomadas, como Lockheed Martin. O ataque envolveu 48.000 hosts e mais de 80 clusters, configurando um ambiente complexo onde os criminosos exploraram DNS expirados para redirecionar usuários a sites maliciosos.

Impacto e resposta

Os efeitos desse ataque são danosos para as empresas afetadas, expondo-as a potenciais responsabilidades regulatórias e legais, além de riscos de roubo de credenciais e dados sensíveis. O volume de tráfego dirigido a esses sites clonados vem de plataformas reconhecidas como Google e Meta, levantando questões sobre como esses gigantes de tecnologia monitoram atividade maliciosa em seus serviços. Segundo a equipe de pesquisa, “muitos dos sites clonados ainda carregam recursos da infraestrutura de nuvem da marca original” (

“muitos dos sites clonados ainda carregam recursos da infraestrutura de nuvem da marca original”
(“many of the cloned sites still load resources from the original brand’s cloud infrastructure”)

— Deep Specter Research

). Essa situação amplifica o risco de confusão para os usuários ao buscar informações legítimas e serem redirecionados anteriormente a páginas de fraude.

Análise e recomendações

Com a descoberta de 86 endereços IP físicos, todos hospedados no Google Cloud, a investigação revela que o escopo da operação está em constante evolução. Para mitigar riscos semelhantes, as empresas devem intensificar a vigilância sobre seus domínios expirados e inativos, além de adotar práticas robustas de monitoramento de ameaças e análises aprofundadas, evitando depender exclusivamente de detecções automatizadas. “Dessa forma, pode-se minimizar a possibilidade de ataques que tiram proveito da infraestrutura de nuvem sem o conhecimento dos provedores” (

“essa atividade pode ser evitada por meio de monitoramento adequado de inteligência de ameaças”
(“such abuse can be avoided by properly monitoring threat intelligence”)

— Deep Specter Research

).

O impacto dessa violação levanta preocupações sobre a segurança em ambientes de nuvem e a necessidade de medidas proativas na proteção de ativos digitais. A expectativa é que novas atualizações no setor se concentrem em estratégias mais eficazes para identificar e neutralizar fraudes desse tipo.

Fonte: (Dark Reading – Segurança Cibernética)