Darcula Phishing Kit
Появи се новопоявила се Phishing-as-a-Service (PaaS), известна като „Darcula“, която използва зашеметяващите 20 000 домейна, за да имитира реномирани марки и да краде идентификационни данни за вход предимно от потребители на Android и iPhone в повече от 100 държави. Този усъвършенстван инструмент е бил използван срещу разнообразен набор от услуги и организации, обхващащи пощенски, финансови, правителствени и данъчни отдели, както и телекомуникационни компании, авиокомпании и доставчици на комунални услуги. Той може да се похвали с обширен арсенал от над 200 шаблона, предоставяйки на измамниците богат избор, за да приспособят своите измамни кампании.
Това, което отличава Darcula, е стратегическото му използване на протокола Rich Communication Services (RCS) за платформи като Google Messages и iMessage, вместо да разчита на традиционни SMS за разпространение на фишинг съобщения. Този подход повишава ефикасността на своите атаки чрез използване на подобрените възможности на RCS, потенциално увеличавайки степента на успех на опитите за фишинг.
Съдържание
Фишинг платформата Darcula набира популярност сред киберпрестъпниците
Изследователите са наблюдавали нарастваща тенденция в областта на киберпрестъпността с нарастващата популярност на фишинг платформата Darcula. Тази платформа е замесена в много известни фишинг атаки през изминалата година, насочени към потребители както на Apple, така и на устройства с Android в Обединеното кралство, както и организиране на измами с пакети, представящи се за Пощенската служба на Съединените щати (USPS). За разлика от традиционните техники за фишинг, Darcula използва модерни технологии като JavaScript, React, Docker и Harbor, улеснявайки непрекъснатите актуализации и безпроблемното интегриране на нови функции, без да изисква клиентите да преинсталират комплекти за фишинг.
Комплектът за фишинг, предлаган от Darcula, включва колекция от 200 шаблона, предназначени да се представят за марки и организации в повече от 100 държави. Тези шаблони включват висококачествени целеви страници, които са локализирани с точен език, лога и съдържание.
За да настроят фишинг кампания, измамниците избират марка, която да се представят, и изпълняват скрипт за настройка, който инсталира съответния фишинг сайт заедно с неговото табло за управление директно в Docker среда. Системата използва регистъра на контейнерите с отворен код Harbor за хостване на Docker изображения, докато самите сайтове за фишинг са разработени с помощта на React.
Според изследователите услугата Darcula обикновено използва домейни от първо ниво като „.top“ и „.com“, за да хоства целево регистрирани домейни за своите фишинг атаки. Приблизително една трета от тези домейни се поддържат от Cloudflare, широко използвана мрежа за доставка на съдържание и компания за интернет сигурност.
Darcula се отдалечава от установените фишинг канали и методи
Darcula се откъсва от конвенционалните тактики, базирани на SMS, като използва Rich Communication Services (RCS) за Android и iMessage за iOS, за да изпраща на жертвите съобщения, съдържащи връзки към фишинг URL адреси. Този подход предлага няколко предимства, тъй като получателите са по-склонни да възприемат такива комуникации като истински, като се доверяват на допълнителните мерки за сигурност, присъщи на RCS и iMessage, които не са налични в SMS. Освен това, поради криптирането от край до край, поддържано от RCS и iMessage, прихващането и блокирането на фишинг съобщения въз основа на тяхното съдържание става невъзможно.
Скорошните законодателни усилия в световен мащаб, насочени към борба с киберпрестъпленията, базирани на SMS чрез възпрепятстване на подозрителни съобщения, вероятно ще подтикнат платформите Phishing-as-a-Service (PaaS) да проучат алтернативни протоколи като RCS и iMessage. Въпреки това, тези протоколи идват със свои собствени набори от предизвикателства, с които киберпрестъпниците трябва да се справят.
Например, Apple налага ограничения върху акаунти, изпращащи големи обеми съобщения до множество получатели. В същото време Google наскоро въведе ограничение, което не позволява на устройства с Android да изпращат или получават RCS съобщения. Киберпрестъпниците се опитват да заобиколят тези ограничения, като създават множество Apple ID и използват групи от устройства, за да изпращат малък брой съобщения от всяко устройство.
По-голяма пречка се крие в предпазната мярка на iMessage, която позволява на получателите да кликнат върху URL връзка само след като отговорят на съобщението. За да заобиколи тази мярка, фишинг съобщението подканва получателя да отговори с „Y“ или „1“, преди да отвори отново съобщението за достъп до връзката. Тази допълнителна стъпка може да доведе до триене, потенциално намалявайки ефикасността на фишинг атаката.
Как да разпознаете фишинг или съмнителни съобщения?
За потребителите е изключително важно да възприемат предпазлив подход към всички входящи съобщения, които ги подканват да кликнат върху URL адреси, особено ако подателят е непознат. Актьорите на фишинг заплахи непрекъснато обновяват нови методи за доставка в различни платформи и приложения, което прави от съществено значение потребителите да останат бдителни. Изследователите съветват потребителите да внимават със знаци като неправилна граматика, правописни грешки, прекалено примамливи оферти или искания за незабавно действие, тъй като това са често срещани тактики, използвани от тактиките за фишинг.
