全球 1.2 萬台伺服器淪為釣魚跳板：駭客利用 Google Cloud 與《紐時》內容規避資安偵測

駭客如何利用「信任」漏洞？

資安研究機構 Comparitech 近期揭露了一項大規模的網路釣魚與垃圾郵件行動。該行動並非單一駭客所為，而是一個由 12,704 台伺服器組成的協調網路，分佈於全球 55 個國家。這些郵件內容多以財務獎勵、健康產品、賭博優惠或緊急付款請求為誘餌，意圖騙取用戶個資。

這項行動最狡猾之處在於其規避資安偵測的手段。駭客並未直接在郵件中放置惡意連結，而是透過 Google Cloud Storage 託管頁面進行跳轉。由於 Google 網域在多數郵件閘道、防火牆與信譽過濾系統中預設為「受信任」，這類連結能輕易通過檢查，無需進行深度掃描。

研究人員發現，駭客在 Google 的雲端儲存空間中上傳了簡單的 HTML 與 JavaScript 檔案，這些檔案會將訪客重新導向至惡意網站。這種「連結與目的地分離」的架構，讓駭客能隨時變更詐騙目標，而無需修改已發出的郵件。

此外，駭客還設置了大量偽裝頁面，內容直接複製自《紐約時報》。這些頁面主要作為「誘餌」，用來欺騙資安產品與研究人員，確保只有符合特定條件的受害者才會被導向真正的釣魚頁面。

儘管該網路分佈於 412 個託管供應商，研究人員透過一個名為 assets/ayt/css/main.css 的 CSS 檔案路徑，確認了這是一個具備高度集中化部署的系統。數據顯示，該網路中 99.8% 的伺服器運行著已停止維護、無安全更新的過時軟體。

這種廣泛的地理分佈顯然經過精心設計，即便單一供應商封鎖了部分伺服器，整個網路仍能保持運作。研究人員對其中 5,000 台伺服器進行檢查後發現，高達 89% 的 IP 位址此前並無濫用紀錄，顯示駭客採取了頻繁更換基礎設施的策略，以避開威脅情報系統的監控。

研究人員警告，若曾透過此類郵件輸入個人資訊，應視為資料已外洩，必須立即更換密碼，特別是針對在多個平台重複使用的密碼。同時，應密切監控所有金融帳戶的異常活動。即使只是點擊了郵件中的連結而未輸入資訊，該動作也已向駭客確認了電子郵件地址的有效性，未來恐將面臨更多垃圾郵件與釣魚詐騙的攻擊。