在过去的6个月里，Netskope已经发现，部署在 DigitalOcean 上的恶意网页流量增长了17 倍。研究人员发现，攻击者模仿 Windows Defender 欺骗用户，使用户以为其计算机已经被攻陷且需要技术支持，诱骗受害者拨打虚假的“求助热线”。随后，攻击者远程访问受害者的计算机并且安装恶意软件，或者要求用户支付清除感染的服务费。

攻击者模仿 Windows Defender 的告警，诱骗用户相信其计算机已经感染了恶意软件。强调受害者要拨打骗子的电话，随后远程访问受害者的计算机来安装恶意软件或者装模作样修复感染要求付费。研究人员认为，攻击者通常是用恶意广告将受害者重定向到这些诈骗页面的。

攻击者会通过各种恐吓、诱导的手段来逼迫受害者拨打诈骗电话，例如显示虚假 Windows 桌面与聊天工具，其中工作人员提示自助服务的用户所有计算机服务器存在泄密的问题，要求自助服务的用户致电技术支持人员。

为什么是 DigitalOcean？

DigitalOcean 允许用户免费部署最多三个静态网站。但由于诈骗页面上的电话号码需要动态更新，攻击者通过 URL 中的phone 参数来实现更改。攻击者就可以通过相同的 DigitalOcean 实例来使用不同的电话号码，而无需更改 HTML 或者脚本文件。

通过 VirusTotal 的数据，研究人员发现其中一个页面与 DigitalOcean 上 87 个不同域名的 URL 存在关联。该页面显示了一个名为bittorrent的服务器，这个服务器可以访问互联网上的任何地方。