Darcula Phishing Kit
Atsirado naujai sukurtas sukčiavimo kaip paslauga (PaaS), žinomas kaip „Darcula“, naudojant stulbinančius 20 000 domenų, kad būtų galima imituoti gerbiamų prekių ženklų ir pagrobti prisijungimo duomenis, daugiausia iš Android ir iPhone naudotojų daugiau nei 100 šalių. Šis sudėtingas įrankis buvo naudojamas prieš įvairias paslaugas ir organizacijas, apimančias pašto, finansų, vyriausybės ir mokesčių departamentus, taip pat telekomunikacijų bendroves, oro linijas ir komunalinių paslaugų teikėjus. Jame yra platus daugiau nei 200 šablonų arsenalas, suteikiantis sukčiams platų pasirinkimą, kad jie galėtų pritaikyti savo apgaulingas kampanijas.
Darcula išsiskiria tuo, kad strategiškai naudojamas Rich Communication Services (RCS) protokolas tokioms platformoms kaip „Google Messages“ ir „iMessage“, o ne tradicinėmis SMS žinutėmis platinant sukčiavimo pranešimus. Šis metodas padidina atakų veiksmingumą išnaudodamas patobulintas RCS galimybes, o tai gali padidinti sukčiavimo bandymų sėkmės rodiklį.
Turinys
„Darcula“ sukčiavimo platforma vis labiau populiarėja tarp kibernetinių nusikaltėlių
Tyrėjai pastebėjo didėjančią kibernetinių nusikaltimų srityje tendenciją augant Darcula sukčiavimo platformos populiarumui. Per pastaruosius metus ši platforma buvo susijusi su daugybe žinomų sukčiavimo atakų, nukreiptų prieš „Apple“ ir „Android“ įrenginių naudotojus JK, taip pat surengė paketų sukčiavimą, apsimetančią Jungtinių Valstijų pašto tarnyba (USPS). Priešingai nei tradiciniai sukčiavimo būdai, Darcula naudoja modernias technologijas, tokias kaip JavaScript, React, Docker ir Harbour, palengvindama nuolatinius atnaujinimus ir sklandų naujų funkcijų integravimą, nereikalaujant, kad klientai iš naujo įdiegtų sukčiavimo rinkinius.
Darcula siūlomą sukčiavimo rinkinį sudaro 200 šablonų, skirtų apsimesti prekių ženklais ir organizacijomis daugiau nei 100 šalių. Šiuose šablonuose yra aukštos kokybės nukreipimo puslapiai, lokalizuoti naudojant tikslią kalbą, logotipus ir turinį.
Norėdami nustatyti sukčiavimo kampaniją, sukčiai pasirenka prekės ženklą, kad galėtų apsimesti, ir vykdo sąrankos scenarijų, kuris įdiegia atitinkamą sukčiavimo svetainę kartu su jos valdymo prietaisų skydeliu tiesiai į Docker aplinką. Sistema naudoja atvirojo kodo konteinerių registrą „Harbor“, kad priglobtų „Docker“ vaizdus, o pačios sukčiavimo svetainės kuriamos naudojant „React“.
Tyrėjų teigimu, „Darcula“ paslauga paprastai naudoja aukščiausio lygio domenus, tokius kaip „.top“ ir „.com“, kad priglobtų pagal paskirtį registruotus domenus sukčiavimo atakoms. Maždaug trečdalį šių domenų palaiko „Cloudflare“, plačiai naudojamas turinio pristatymo tinklas ir interneto saugos įmonė.
Darcula atsisako nusistovėjusių sukčiavimo kanalų ir metodų
„Darcula“ atsisako įprastos SMS žinutėmis pagrįstos taktikos naudodama „Rich Communication Services“ (RCS), skirtą „Android“ ir „iMessage“, skirtą „iOS“, kad aukoms išsiųstų pranešimus su nuorodomis į sukčiavimo URL. Šis metodas turi keletą privalumų, nes gavėjai yra labiau linkę suvokti tokius ryšius kaip tikrus, todėl pasitiki papildomomis saugumo priemonėmis, būdingomis RCS ir iMessage, kurios nepasiekiamos SMS žinutėmis. Be to, dėl RCS ir iMessage palaikomo visiško šifravimo perimti ir blokuoti sukčiavimo pranešimus pagal jų turinį tampa neįmanoma.
Pastarojo meto teisėkūros pastangos visame pasaulyje, kuriomis siekiama kovoti su SMS žinutėmis pagrįstu elektroniniu nusikaltimu, trukdant siųsti įtartinus pranešimus, greičiausiai paskatins sukčiavimo kaip paslauga (PaaS) platformas ieškoti alternatyvių protokolų, tokių kaip RCS ir iMessage. Tačiau šie protokolai turi savo iššūkių, kuriuos turi įveikti kibernetiniai nusikaltėliai.
Pavyzdžiui, „Apple“ nustato apribojimus paskyroms, siunčiančioms didelius pranešimų kiekius keliems gavėjams. Tuo pačiu metu „Google“ neseniai pristatė apribojimą, neleidžiantį įsišaknintiems „Android“ įrenginiams siųsti ar gauti RCS pranešimų. Kibernetiniai nusikaltėliai bando apeiti šiuos apribojimus sukurdami daugybę Apple ID ir naudodami įrenginių fermas, kad iš kiekvieno įrenginio išsiųstų nedidelį skaičių pranešimų.
Didesnė kliūtis yra „iMessage“ apsaugos priemonė, leidžianti gavėjams spustelėti URL nuorodą tik atsakius į pranešimą. Siekiant apeiti šią priemonę, sukčiavimo pranešimas ragina gavėją atsakyti „Y“ arba „1“, prieš iš naujo atidarant pranešimą, kad būtų pasiekta nuoroda. Šis papildomas veiksmas gali sukelti trintį, o tai gali sumažinti sukčiavimo atakos veiksmingumą.
Kaip atpažinti sukčiavimą arba abejotinus pranešimus?
Labai svarbu, kad vartotojai atsargiai žiūrėtų į gaunamus pranešimus, raginančius spustelėti URL, ypač jei siuntėjas nepažįstamas. Sukčiavimo grėsmės veikėjai nuolat diegia naujus pristatymo metodus įvairiose platformose ir programose, todėl naudotojams labai svarbu išlikti budriems. Tyrėjai pataria naudotojams saugotis ženklų, tokių kaip neteisinga gramatika, rašybos klaidos, pernelyg viliojantys pasiūlymai ar reikalavimai nedelsiant imtis veiksmų, nes tai yra įprasta sukčiavimo taktika.
