Darcula Phishing Kit
En nyligt opstået Phishing-as-a-Service (PaaS) kendt som 'Darcula' er dukket op, der bruger svimlende 20.000 domæner til at efterligne velrenommerede brands og stjæle loginoplysninger primært fra Android- og iPhone-brugere i mere end 100 lande. Dette sofistikerede værktøj er blevet brugt mod en bred vifte af tjenester og organisationer, der spænder over post-, finans-, stats- og skatteafdelinger, såvel som telekommunikationsselskaber, flyselskaber og forsyningsselskaber. Det kan prale af et omfattende arsenal på over 200 skabeloner, der giver svindlere et bredt udvalg til at skræddersy deres bedrageriske kampagner.
Det, der adskiller Darcula, er dens strategiske brug af Rich Communication Services (RCS)-protokollen til platforme som Google Messages og iMessage i stedet for at stole på traditionel SMS til at formidle phishing-beskeder. Denne tilgang øger effektiviteten af dens angreb ved at udnytte de forbedrede muligheder i RCS, hvilket potentielt øger succesraten for phishing-forsøg.
Indholdsfortegnelse
Darcula Phishing-platformen vinder indpas blandt cyberkriminelle
Forskere har observeret en stigende tendens inden for cyberkriminalitet med den voksende popularitet af Darcula-phishing-platformen. Denne platform har været involveret i adskillige fremtrædende phishing-angreb i løbet af det seneste år, rettet mod brugere af både Apple- og Android-enheder i Storbritannien, samt orkestrering af pakkesvindel, der efterligner United States Postal Service (USPS). I modsætning til traditionelle phishing-teknikker udnytter Darcula moderne teknologier såsom JavaScript, React, Docker og Harbor, hvilket letter løbende opdateringer og den problemfri integration af nye funktioner uden at kræve, at klienter geninstallerer phishing-sæt.
Phishing-sættet, der tilbydes af Darcula, omfatter en samling af 200 skabeloner designet til at efterligne mærker og organisationer i mere end 100 lande. Disse skabeloner har landingssider af høj kvalitet, der er lokaliseret med nøjagtigt sprog, logoer og indhold.
For at opsætte en phishing-kampagne vælger svindlere et brand til at efterligne og udfører et opsætningsscript, som installerer det tilsvarende phishing-websted sammen med dets administrationsdashboard direkte i et Docker-miljø. Systemet anvender open source-beholderregistret Harbor til hosting af Docker-billeder, mens selve phishing-webstederne er udviklet ved hjælp af React.
Ifølge forskere bruger Darcula-tjenesten typisk topdomæner som '.top' og '.com' til at hoste formålsregistrerede domæner til deres phishing-angreb. Omtrent en tredjedel af disse domæner understøttes af Cloudflare, et udbredt indholdsleveringsnetværk og internetsikkerhedsfirma.
Darcula flytter sig væk fra etablerede phishing-kanaler og -metoder
Darcula bryder væk fra konventionel SMS-baseret taktik ved at udnytte Rich Communication Services (RCS) til Android og iMessage til iOS til at sende beskeder, der indeholder links til phishing-URL'er til ofre. Denne tilgang giver flere fordele, da modtagere er mere tilbøjelige til at opfatte sådan kommunikation som ægte, hvilket sætter tillid til de yderligere sikkerhedsforanstaltninger, der er iboende i RCS og iMessage, som ikke er tilgængelige i SMS. På grund af end-to-end-kryptering, der understøttes af RCS og iMessage, bliver det desuden umuligt at opsnappe og blokere phishing-meddelelser baseret på deres indhold.
Nylige lovgivningsmæssige bestræbelser verden over med det formål at bekæmpe SMS-baseret cyberkriminalitet ved at blokere mistænkelige meddelelser, får sandsynligvis Phishing-as-a-Service (PaaS) platforme til at udforske alternative protokoller som RCS og iMessage. Disse protokoller kommer dog med deres egne sæt udfordringer, som cyberkriminelle skal navigere.
For eksempel pålægger Apple begrænsninger for konti, der sender store mængder meddelelser til flere modtagere. Samtidig har Google for nylig indført en begrænsning, der forhindrer rootede Android-enheder i at sende eller modtage RCS-beskeder. Cyberkriminelle forsøger at omgå disse begrænsninger ved at oprette adskillige Apple ID'er og bruge enhedsfarme til at sende et lille antal beskeder fra hver enhed.
En mere formidabel hindring ligger i en iMessage-beskyttelse, der tillader modtagere kun at klikke på et URL-link efter at have svaret på beskeden. For at omgå denne foranstaltning beder phishing-meddelelsen modtageren om at svare med et 'Y' eller '1', før meddelelsen genåbnes for at få adgang til linket. Dette yderligere trin kan introducere friktion, hvilket potentielt mindsker effektiviteten af phishing-angrebet.
Hvordan genkender man phishing eller tvivlsomme beskeder?
Det er afgørende for brugerne at tage en forsigtig tilgang til alle indgående meddelelser, der beder dem om at klikke på URL'er, især hvis afsenderen ikke er bekendt. Aktører fra phishing-trusler innoverer løbende nye leveringsmetoder på tværs af forskellige platforme og applikationer, hvilket gør det vigtigt for brugerne at forblive på vagt. Forskere råder brugerne til at være på vagt over for tegn såsom forkert grammatik, stavefejl, alt for lokkende tilbud eller krav om øjeblikkelig handling, da disse er almindelige taktikker, der anvendes af phishing-taktik.
