Darcula Phishing Kit
یک سرویس فیشینگ بهعنوان سرویس (PaaS) که بهنام «دارکولا» شناخته میشود، ظاهر شده است که از 20000 دامنه برای تقلید از مارکهای معتبر استفاده میکند و اعتبار ورود به سیستم را عمدتاً از کاربران اندروید و آیفون در بیش از 100 کشور جهان به سرقت میبرد. این ابزار پیچیده در برابر طیف متنوعی از خدمات و سازمانها در بخشهای پستی، مالی، دولتی و مالیاتی و همچنین شرکتهای مخابراتی، خطوط هوایی و ارائهدهندگان خدمات استفاده شده است. این دارای زرادخانه گسترده ای از بیش از 200 قالب است که انتخاب گسترده ای را برای کلاهبرداران فراهم می کند تا کمپین های فریبکارانه خود را تنظیم کنند.
آنچه دارکولا را متمایز می کند، استفاده استراتژیک آن از پروتکل خدمات ارتباطی غنی (RCS) برای پلتفرم هایی مانند Google Messages و iMessage به جای تکیه بر پیامک های سنتی برای انتشار پیام های فیشینگ است. این رویکرد با استفاده از قابلیتهای پیشرفته RCS، کارایی حملات خود را افزایش میدهد و به طور بالقوه نرخ موفقیت تلاشهای فیشینگ را افزایش میدهد.
فهرست مطالب
پلتفرم فیشینگ دارکولا در بین مجرمان سایبری مورد توجه قرار گرفته است
محققان با افزایش محبوبیت پلتفرم فیشینگ دارکولا، روند رو به افزایشی را در حوزه جرایم سایبری مشاهده کردند. این پلتفرم در چندین حملات فیشینگ برجسته در سال گذشته دخیل بوده است که کاربران دستگاههای اپل و اندروید را در بریتانیا هدف قرار داده و همچنین کلاهبرداریهای بستهای را که جعل هویت سرویس پست ایالات متحده (USPS) هستند، سازماندهی کرده است. برخلاف تکنیکهای فیشینگ سنتی، دارکولا از فناوریهای مدرنی مانند جاوا اسکریپت، ری اکت، داکر و هاربر استفاده میکند و بهروزرسانیهای مداوم و ادغام یکپارچه ویژگیهای جدید را بدون نیاز به نصب مجدد کیتهای فیشینگ توسط مشتریان تسهیل میکند.
کیت فیشینگ ارائه شده توسط دارکولا شامل مجموعه ای از 200 الگو است که برای جعل هویت برندها و سازمان ها در بیش از 100 کشور طراحی شده است. این قالب ها دارای صفحات فرود با کیفیت بالا هستند که با زبان، آرم و محتوای دقیق بومی سازی شده اند.
برای راه اندازی یک کمپین فیشینگ، کلاهبرداران برندی را برای جعل هویت و اجرای یک اسکریپت راه اندازی انتخاب می کنند که سایت فیشینگ مربوطه را به همراه داشبورد مدیریت آن مستقیماً در محیط Docker نصب می کند. این سیستم از رجیستری کانتینر منبع باز Harbor برای میزبانی تصاویر Docker استفاده می کند، در حالی که خود سایت های فیشینگ با استفاده از React توسعه می یابند.
به گفته محققان، سرویس Darcula معمولاً از دامنه های سطح بالا مانند '.top' و '.com' برای میزبانی دامنه های ثبت شده هدف برای حملات فیشینگ خود استفاده می کند. تقریباً یک سوم از این دامنهها توسط Cloudflare، یک شبکه ارائه محتوا و شرکت امنیت اینترنتی که به طور گسترده استفاده میشود، پشتیبانی میشوند.
دارکولا از کانال ها و روش های فیشینگ تثبیت شده فاصله می گیرد
دارکولا با استفاده از سرویسهای ارتباطی غنی (RCS) برای اندروید و iMessage برای iOS برای ارسال پیامهایی که حاوی پیوندهایی به URLهای فیشینگ به قربانیان هستند، از تاکتیکهای متعارف مبتنی بر پیامک جدا میشود. این رویکرد چندین مزیت را ارائه می دهد، زیرا گیرندگان تمایل بیشتری به درک این ارتباطات به عنوان واقعی دارند و به اقدامات امنیتی اضافی ذاتی RCS و iMessage که در پیامک در دسترس نیستند اعتماد می کنند. علاوه بر این، به دلیل رمزگذاری انتها به انتها که توسط RCS و iMessage پشتیبانی میشود، رهگیری و مسدود کردن پیامهای فیشینگ بر اساس محتوای آنها غیرممکن میشود.
تلاشهای قانونی اخیر در سراسر جهان با هدف مبارزه با جرایم سایبری مبتنی بر پیامک از طریق ممانعت از پیامهای مشکوک، احتمالاً پلتفرمهای Phishing-as-a-Service (PaaS) را به بررسی پروتکلهای جایگزین مانند RCS و iMessage واداشته است. با این حال، این پروتکل ها با مجموعه ای از چالش ها همراه هستند که مجرمان سایبری باید از آنها عبور کنند.
به عنوان مثال، اپل محدودیت هایی را برای حساب هایی که حجم زیادی از پیام ها را به چندین گیرنده ارسال می کنند، اعمال می کند. در همان زمان، گوگل اخیراً محدودیتی را برای دستگاه های اندرویدی روت شده از ارسال یا دریافت پیام های RCS معرفی کرده است. مجرمان سایبری سعی می کنند با ایجاد شناسه های اپل متعدد و استفاده از مزارع دستگاه برای ارسال تعداد کمی پیام از هر دستگاه، این محدودیت ها را دور بزنند.
یک مانع بزرگتر در حفاظت iMessage است که به گیرندگان اجازه میدهد تنها پس از پاسخ دادن به پیام، روی پیوند URL کلیک کنند. برای دور زدن این اقدام، پیام فیشینگ از گیرنده می خواهد که قبل از باز کردن مجدد پیام برای دسترسی به پیوند، با یک "Y" یا "1" پاسخ دهد. این مرحله اضافی ممکن است باعث ایجاد اصطکاک شود و به طور بالقوه اثربخشی حمله فیشینگ را کاهش دهد.
چگونه می توان فیشینگ یا پیام های مشکوک را تشخیص داد؟
برای کاربران بسیار مهم است که رویکرد محتاطانه ای را در قبال پیام های دریافتی که آنها را وادار به کلیک بر روی URL ها می کند، اتخاذ کنند، به خصوص اگر فرستنده ناآشنا باشد. عوامل تهدید فیشینگ به طور مداوم روشهای تحویل جدید را در پلتفرمها و برنامههای مختلف ابداع میکنند، که هوشیاری را برای کاربران ضروری میسازد. محققان به کاربران توصیه می کنند که مراقب علائمی مانند دستور زبان نادرست، اشتباهات املایی، پیشنهادات بیش از حد فریبنده، یا درخواست برای اقدام فوری باشند، زیرا اینها تاکتیک های رایجی هستند که توسط تاکتیک های فیشینگ به کار می روند.
<p/ style=";text-align:right;direction:rtl">