מתקפת דיוג נרחבת משתמשת במסמכי PDF מזויפים המתארחים ב- CDN – רשת אספקת התוכן של Webflow במטרה לגנוב פרטי כרטיסי אשראי ולבצע הונאה פיננסית. לפי חוקר איומי הסייבר Michael Alcantara: "ההאקרים מכוונים לקורבנות המחפשים מסמכים במנועי חיפוש ומגיעים ל- PDF זדוני המכיל תמונת CAPTCHA המוטמעת בקישור דיוג, מה שמוביל אותם לספק להאקרים מידע פיננסי רגיש".
מתקפת דיוג זו הנמשכת מאז המחצית השנייה של 2024, מכוונת למשתמשים המחפשים כותרי ספרים, מסמכים ותרשימים במנועי חיפוש כמו גוגל, כדי להפנות את אותם משתמשים לקבצי PDF זדוניים המתארחים ב- Webflow CDN.
קבצי PDF אלו מגיעים עם תמונה המחקה אתגר CAPTCHA, מה שגורם למשתמשים שלוחצים עליה להישלח לדף דיוג המארח, הפעם, CAPTCHA אמיתי של Cloudflare Turnstile. בכך שואפים ההאקרים להעניק לתהליך מעטה של לגיטימציה, להטעות את הקורבנות לחשוב שהם עשו אינטראקציה עם בדיקת אבטחה, תוך התחמקות מזיהוי על ידי סורקי אבטחה. משתמשים המשלימים את אתגר ה- CAPTCHA האמיתי מופנים לאחר מכן לדף הכולל כפתור "הורדה" כדי לגשת למסמך שהם רוצים. עם זאת, כאשר מנסים הקורבנות להשלים את השלב, מוצגת להם הודעה קופצת המבקשת מהם להזין את פרטי כרטיס האשראי שלהם. "עם הזנת פרטי כרטיס האשראי, שולחים ההאקרים הודעת שגיאה כדי לציין שהיא לא התקבלה", אמר מייקל אלקנטרה והדגיש: "אם הקורבן ישלח את פרטי כרטיס האשראי שלו פעמיים או שלוש נוספות, הם יופנו לדף שגיאה HTTP 500."
