近期，網絡安全領域的警報再度拉響，網絡安全公司Fortra揭示了一個令人擔憂的趨勢：網絡犯罪分子正頻繁利用Cloudflare的pages.dev和workers.dev域名，執行網絡釣魚和其他惡意活動，這一行為引發了廣泛的安全憂慮。

原本，pages.dev和workers.dev是Cloudflare提供的兩大服務，前者用于輕松部署網頁，后者則促進了無服務器計算的廣泛應用。然而，這些原本合法的域名，如今卻成為了網絡犯罪分子的“新寵”，他們借助Cloudflare的良好信譽和卓越性能，企圖逃避安全檢測，實現其不法目的。

Cloudflare，這家總部位于美國的公司，以其龐大的內容分發網絡（CDN）服務、云網絡安全、DDoS防御以及廣域網服務等，成為了全球互聯網的重要支柱。其核心業務圍繞著連接、保護和構建，旨在為企業提供一個統一的平臺，助力其在全球范圍內開展業務、交付產品和創新。

在Cloudflare Pages的濫用案例中，網絡犯罪分子通過托管釣魚中轉頁面，將受害者重定向至偽造的登錄頁面，如Microsoft Office 365的登錄頁面。他們通過欺詐性的PDF或釣魚郵件嵌入鏈接，誘騙受害者點擊。由于Cloudflare的聲譽，這些鏈接往往能夠避開安全產品的檢測，從而提高了攻擊的成功率。

據Fortra的數據顯示，2024年Cloudflare Pages遭遇的釣魚攻擊事件同比增長了驚人的198%，并預測到年底這一數字將躍升至超過1600起，同比增長257%。這意味著，平均每月約有137起此類攻擊事件發生。

而在Cloudflare Workers方面，其濫用情況同樣不容樂觀。該平臺被用于執行DDoS攻擊、部署釣魚網站、注入惡意腳本以及暴力破解賬戶密碼等。更令人擔憂的是，攻擊者甚至利用Workers平臺進行人機驗證步驟，使得釣魚過程更具迷惑性，難以被察覺。

據Fortra統計，2024年Cloudflare Workers遭遇的釣魚攻擊事件同比增長了104%，預計到年底將達到近6000起，同比增長145%。這意味著，平均每月約有499起此類攻擊事件在暗網中悄然進行。

Fortra還指出，攻擊者采用了“bccfoldering”策略來隱藏郵件收件人，這使得安全人員難以評估釣魚活動的真實規模，進一步增加了攻擊的隱蔽性。

面對這一系列嚴峻的安全挑戰，網絡安全公司和廣大用戶需保持高度警惕，采取有效措施來防范和應對網絡釣魚等惡意活動。同時，Cloudflare等互聯網企業也應加強技術防范，提升安全檢測能力，共同維護一個更加安全、健康的網絡環境。