Darcula Phishing Kit

یک سرویس فیشینگ به‌عنوان سرویس (PaaS) که به‌نام «دارکولا» شناخته می‌شود، ظاهر شده است که از 20000 دامنه برای تقلید از مارک‌های معتبر استفاده می‌کند و اعتبار ورود به سیستم را عمدتاً از کاربران اندروید و آیفون در بیش از 100 کشور جهان به سرقت می‌برد. این ابزار پیچیده در برابر طیف متنوعی از خدمات و سازمان‌ها در بخش‌های پستی، مالی، دولتی و مالیاتی و همچنین شرکت‌های مخابراتی، خطوط هوایی و ارائه‌دهندگان خدمات استفاده شده است. این دارای زرادخانه گسترده ای از بیش از 200 قالب است که انتخاب گسترده ای را برای کلاهبرداران فراهم می کند تا کمپین های فریبکارانه خود را تنظیم کنند.

آنچه دارکولا را متمایز می کند، استفاده استراتژیک آن از پروتکل خدمات ارتباطی غنی (RCS) برای پلتفرم هایی مانند Google Messages و iMessage به جای تکیه بر پیامک های سنتی برای انتشار پیام های فیشینگ است. این رویکرد با استفاده از قابلیت‌های پیشرفته RCS، کارایی حملات خود را افزایش می‌دهد و به طور بالقوه نرخ موفقیت تلاش‌های فیشینگ را افزایش می‌دهد.

پلتفرم فیشینگ دارکولا در بین مجرمان سایبری مورد توجه قرار گرفته است

محققان با افزایش محبوبیت پلتفرم فیشینگ دارکولا، روند رو به افزایشی را در حوزه جرایم سایبری مشاهده کردند. این پلتفرم در چندین حملات فیشینگ برجسته در سال گذشته دخیل بوده است که کاربران دستگاه‌های اپل و اندروید را در بریتانیا هدف قرار داده و همچنین کلاهبرداری‌های بسته‌ای را که جعل هویت سرویس پست ایالات متحده (USPS) هستند، سازماندهی کرده است. برخلاف تکنیک‌های فیشینگ سنتی، دارکولا از فناوری‌های مدرنی مانند جاوا اسکریپت، ری اکت، داکر و هاربر استفاده می‌کند و به‌روزرسانی‌های مداوم و ادغام یکپارچه ویژگی‌های جدید را بدون نیاز به نصب مجدد کیت‌های فیشینگ توسط مشتریان تسهیل می‌کند.

کیت فیشینگ ارائه شده توسط دارکولا شامل مجموعه ای از 200 الگو است که برای جعل هویت برندها و سازمان ها در بیش از 100 کشور طراحی شده است. این قالب ها دارای صفحات فرود با کیفیت بالا هستند که با زبان، آرم و محتوای دقیق بومی سازی شده اند.

برای راه اندازی یک کمپین فیشینگ، کلاهبرداران برندی را برای جعل هویت و اجرای یک اسکریپت راه اندازی انتخاب می کنند که سایت فیشینگ مربوطه را به همراه داشبورد مدیریت آن مستقیماً در محیط Docker نصب می کند. این سیستم از رجیستری کانتینر منبع باز Harbor برای میزبانی تصاویر Docker استفاده می کند، در حالی که خود سایت های فیشینگ با استفاده از React توسعه می یابند.

به گفته محققان، سرویس Darcula معمولاً از دامنه های سطح بالا مانند '.top' و '.com' برای میزبانی دامنه های ثبت شده هدف برای حملات فیشینگ خود استفاده می کند. تقریباً یک سوم از این دامنه‌ها توسط Cloudflare، یک شبکه ارائه محتوا و شرکت امنیت اینترنتی که به طور گسترده استفاده می‌شود، پشتیبانی می‌شوند.

دارکولا از کانال ها و روش های فیشینگ تثبیت شده فاصله می گیرد

دارکولا با استفاده از سرویس‌های ارتباطی غنی (RCS) برای اندروید و iMessage برای iOS برای ارسال پیام‌هایی که حاوی پیوندهایی به URLهای فیشینگ به قربانیان هستند، از تاکتیک‌های متعارف مبتنی بر پیامک جدا می‌شود. این رویکرد چندین مزیت را ارائه می دهد، زیرا گیرندگان تمایل بیشتری به درک این ارتباطات به عنوان واقعی دارند و به اقدامات امنیتی اضافی ذاتی RCS و iMessage که در پیامک در دسترس نیستند اعتماد می کنند. علاوه بر این، به دلیل رمزگذاری انتها به انتها که توسط RCS و iMessage پشتیبانی می‌شود، رهگیری و مسدود کردن پیام‌های فیشینگ بر اساس محتوای آنها غیرممکن می‌شود.

تلاش‌های قانونی اخیر در سراسر جهان با هدف مبارزه با جرایم سایبری مبتنی بر پیامک از طریق ممانعت از پیام‌های مشکوک، احتمالاً پلتفرم‌های Phishing-as-a-Service (PaaS) را به بررسی پروتکل‌های جایگزین مانند RCS و iMessage واداشته است. با این حال، این پروتکل ها با مجموعه ای از چالش ها همراه هستند که مجرمان سایبری باید از آنها عبور کنند.

به عنوان مثال، اپل محدودیت هایی را برای حساب هایی که حجم زیادی از پیام ها را به چندین گیرنده ارسال می کنند، اعمال می کند. در همان زمان، گوگل اخیراً محدودیتی را برای دستگاه های اندرویدی روت شده از ارسال یا دریافت پیام های RCS معرفی کرده است. مجرمان سایبری سعی می کنند با ایجاد شناسه های اپل متعدد و استفاده از مزارع دستگاه برای ارسال تعداد کمی پیام از هر دستگاه، این محدودیت ها را دور بزنند.

یک مانع بزرگ‌تر در حفاظت iMessage است که به گیرندگان اجازه می‌دهد تنها پس از پاسخ دادن به پیام، روی پیوند URL کلیک کنند. برای دور زدن این اقدام، پیام فیشینگ از گیرنده می خواهد که قبل از باز کردن مجدد پیام برای دسترسی به پیوند، با یک "Y" یا "1" پاسخ دهد. این مرحله اضافی ممکن است باعث ایجاد اصطکاک شود و به طور بالقوه اثربخشی حمله فیشینگ را کاهش دهد.

چگونه می توان فیشینگ یا پیام های مشکوک را تشخیص داد؟

برای کاربران بسیار مهم است که رویکرد محتاطانه ای را در قبال پیام های دریافتی که آنها را وادار به کلیک بر روی URL ها می کند، اتخاذ کنند، به خصوص اگر فرستنده ناآشنا باشد. عوامل تهدید فیشینگ به طور مداوم روش‌های تحویل جدید را در پلتفرم‌ها و برنامه‌های مختلف ابداع می‌کنند، که هوشیاری را برای کاربران ضروری می‌سازد. محققان به کاربران توصیه می کنند که مراقب علائمی مانند دستور زبان نادرست، اشتباهات املایی، پیشنهادات بیش از حد فریبنده، یا درخواست برای اقدام فوری باشند، زیرا اینها تاکتیک های رایجی هستند که توسط تاکتیک های فیشینگ به کار می روند.

<p/ style=";text-align:right;direction:rtl">