כלי דיוג של Sniper Dz

במהלך השנה האחרונה, חוקרים זיהו למעלה מ-140,000 אתרי פישינג המקושרים לפלטפורמת Phishing-as-a-Service (PhaaS) הידועה בשם Sniper Dz, והדגישו את השימוש הנרחב שלה בקרב פושעי סייבר לגניבת אישורים.

Sniper Dz מספק לדיוג פוטנציאליים פאנל ניהול מקוון הכולל מגוון תבניות דיוג. על פי דוח טכני, משתמשים יכולים להשתמש בשירותי האחסון של Sniper Dz עבור דפים אלה או להוריד את התבניות להפעלה בשרתים שלהם.

כוח המשיכה של הפלטפורמה מוגבר עוד יותר על ידי העובדה ששירותים אלה מוצעים בחינם. עם זאת, שימו לב שהאישורים שנאספו דרך אתרי התחזות הללו נשלחים חזרה למפעילי פלטפורמת PhaaS, טקטיקה המכונה על ידי מומחים כגניבה כפולה.

פושעי סייבר מסתמכים יותר ויותר על פלטפורמות PhaaS

פלטפורמות דיוג כשירות (PhaaS) הופכות לנקודת כניסה פופולרית יותר ויותר עבור פושעי סייבר שאפתנים, ומאפשרות לאנשים בעלי כישורים טכניים מינימליים להשיק התקפות דיוג בקנה מידה גדול. ערכות דיוג אלו זמינות לרכישה בטלגרם, שם ערוצים וקבוצות ייעודיים תומכים בכל היבט של שרשרת ההתקפה, החל משירותי אירוח ועד שליחת הודעות פישינג.

Sniper Dz היא פלטפורמה כזו, שמפעילה ערוץ טלגרם שמתהדר בלמעלה מ-7,170 מנויים נכון ל-1 באוקטובר 2024. ערוץ זה פעיל מאז ה-25 במאי 2020. יש לציין כי בעקבות הדיווח של מומחי אבטחת סייבר, המנהלים של ערוץ זה הפעילו תכונת מחיקה אוטומטית המסירה פוסטים לאחר חודש. מהלך זה מעיד ככל הנראה על מאמץ למחוק עקבות של פעילותם, אם כי הודעות קודמות נשארות נגישות בהיסטוריית הצ'אט. פלטפורמת PhaaS זמינה ב-clearnet והמשתמשים בה חייבים ליצור חשבון כדי לגשת ל"כלי הטקטיקה והפריצה" שלה.

מדריכי וידאו עבור כלי הדיוג

סרטון שהועלה ל-Vimeo בינואר 2021 מדגים שהשירות מספק תבניות טקטיקה מוכנות לשימוש עבור מגוון פלטפורמות מקוונות, כולל X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat ו-PayPal, הזמינות באנגלית , ערבית וצרפתית. הסרטון הזה צבר עד היום למעלה מ-67,000 צפיות.

בנוסף, חוקרים מצאו סרטוני הדרכה ב-YouTube שמדריכים את הצופים בשלבים הדרושים להורדת תבניות מ-Sniper Dz וליצירת דפי נחיתה מזויפים למשחקים כמו PUBG ו-Free Fire באמצעות פלטפורמות לגיטימיות כמו Google Blogger. עם זאת, עדיין לא ברור אם יוצרי ההדרכה הללו קשורים למפתחי Sniper Dz או שהם פשוט משתמשים בשירות.

כיצד פועלים כלי הדיוג של Sniper Dz

Sniper Dz מציעה את היכולת לארח דפי פישינג בתשתית משלה, ומספקת קישורים מותאמים אישית שמפנים משתמשים לדפים אלו. כדי להתחמק מזיהוי, אתרים אלו מוסתרים מאחורי שרת פרוקסי לגיטימי (proxymesh.com), שהוגדר על ידי קבוצת Sniper Dz לטעון אוטומטית תוכן דיוג מהשרת שלה ללא תקשורת ישירה.

שיטה זו עוזרת להגן על שרתי הקצה האחורי של Sniper Dz, שכן הדפדפן של הקורבן או סורק אבטחה תופסים את שרת ה-proxy כאחראי לאספקת מטען הדיוג. לחלופין, פושעי סייבר יכולים להוריד תבניות של דפי פישינג כקובצי HTML לשימוש לא מקוון ולארח אותן בשרתים שלהם. Sniper Dz מספק גם כלים נוספים להמרת תבניות אלה לפורמט Blogger, מה שמאפשר לארח אותן בדומיינים של Blogspot.

אישורים שנאספו מוצגים בסופו של דבר בפאנל ניהול הנגיש על ידי כניסה לאתר clearnet. מומחים ציינו עלייה בפעילות הדיוג באמצעות Sniper Dz, במיוחד מכוונת למשתמשי אינטרנט בארה"ב, שהחלה ביולי 2024.

דפי ההתחזות המשויכים ל-Sniper Dz נועדו לחלץ את אישורי הקורבן ולעקוב אחריהם באמצעות תשתית מרכזית, ככל הנראה לסייע ל-Sniper Dz באיסוף אישורים שנגנבו על ידי דיוגים המשתמשים בפלטפורמת ה-PhaaS שלהם.