黑客滥用 Cloudflare 反机器人检查来隐藏 Microsoft 365 凭据网络钓鱼页面

一位报告称，网络犯罪分子越来越多地使用可信的网络安全工具来使网络钓鱼页面更难以检测。Microsoft 365 凭据盗窃活动展示了它在实践中是如何运作的。根据基于 DomainTools 研究的报告，攻击者使用 Cloudflare Turnstile 检查、IP 过滤和用户代理筛选，使安全扫描器和自动爬虫远离真实的网络钓鱼页面足够长的时间，以窃取真实用户的凭据。

这种策略很重要，因为它将防御工具转变为躲避层。Cloudflare 十字转门旨在将真实访问者与机器人分开，但在网络钓鱼操作者手中，它还可以阻止安全分析系统、URL 扫描程序和搜索爬虫。 Cloudflare 本身将 Turnstile 描述为一种验证工具，可确认访问者的真实性并阻止不需要的机器人。这种合法的功能使得滥用行为变得有效。

这不是一个孤立的想法。安全研究人员记录了之前有类似的活动。 Netskope 报道称，攻击者使用 Cloudflare Turnstile 来保护网络钓鱼页面免受扫描仪的攻击，而微软则单独警告称，针对 Microsoft 365 的网络钓鱼工具包仍在不断发展并大规模运行。本月初，微软详细介绍了 Tycoon2FA 是如何成为的最广泛的网络钓鱼即服务平台之一，每月覆盖全球超过 500,000 个组织。

据报道，该活动是如何进行的

所报告的活动在显示虚假的 Microsoft 365 登录页面之前使用了分阶段的过滤过程。根据您共享的示例详细信息，操作员首先在网络钓鱼流程之前放置了 Cloudflare 人工验证步骤。然后，他们检查访问者的 IP 地址和浏览器用户代理，并向看起来像研究人员、爬虫或云托管扫描仪的访问者提供虚假错误页面或无害的重定向。

这种方法符合现代网络钓鱼中更广泛的模式。攻击者越来越依赖反分析门、可信云服务和多级重定向来使网络钓鱼网站看起来更合法，同时缩小防御者检查它们的窗口。微软已警告网络钓鱼行为者正在利用复杂的基础设施和错误配置来改善交付和逃避检测，而 Cloudflare 自己的 2026 年威胁报告表示，网络钓鱼和凭据滥用仍然是现代身份攻击中的一个主要问题。

Microsoft 365 帐户仍然是高价值目标，因为它们经常解锁电子邮件、文件、Teams 聊天、日历、云存储和内部业务工作流程。一旦攻击者窃取密码，下一步可能是帐户接管、商业电子邮件泄露、数据盗窃或来自受信任邮箱的后续网络钓鱼。

微软称 Defender for Office 365包括反网络钓鱼保护，例如假冒保护、邮箱智能和可调整的网络钓鱼阈值。该公司还表示，网络钓鱼工具包和中间对手服务继续大规模针对 Microsoft 365，特别是当组织依赖较弱的身份验证或不使用防网络钓鱼控件时。

是什么让这种网络钓鱼活动难以被发现

最重要的一点不是Cloudflare 为攻击者构建了这些工具。但事实并非如此。问题在于，犯罪分子可能会重新利用合法的安全和流量管理服务来保护网络钓鱼基础设施免受审查。类似的对可信平台的滥用也出现在涉及云托管、URL 包装和反向代理网络钓鱼工具包的活动中。

防守者应该做什么

• 将意外登录页面上的验证码或人工验证门视为警告信号，而不是保证。
• 尽可能实施防网络钓鱼的 MFA。
• 使用 Microsoft Defender 实现 Office 365 反网络钓鱼策略和模拟保护。
• 检查域、重定向和页面行为，而不仅仅是页面品牌。
• 寻找隐藏在可信基础设施背后的多级网络钓鱼流。
• 培训用户通过已知书签或直接导航（而不是电子邮件链接）访问 Microsoft 365。

标记页面可能是虚假的 Microsoft 365 登录信息

• 登录链接是通过意外电子邮件或共享文档诱惑到达的。
• 常规登录页面之前会出现验证码或验证屏幕。
• 该域名不属于 Microsoft，即使该页面看起来很熟悉。
• 在出现登录表单之前，页面会重定向多次。
• 当从不同的浏览器或网络重新访问该网站时，该网站会显示虚假的错误页面。

FAQ