Darcula Phishing Kit
Ir parādījies jaunizveidotais pikšķerēšanas pakalpojums (PaaS), kas pazīstams kā Darcula, izmantojot satriecošus 20 000 domēnu, lai atdarinātu cienījamus zīmolus un zagtu pieteikšanās akreditācijas datus galvenokārt no Android un iPhone lietotājiem vairāk nekā 100 valstīs. Šis izsmalcinātais rīks ir izmantots pret dažādu pakalpojumu un organizāciju klāstu, kas aptver pasta, finanšu, valsts un nodokļu departamentus, kā arī telekomunikāciju uzņēmumus, aviokompāniju un komunālo pakalpojumu sniedzējus. Tas lepojas ar plašu arsenālu, kurā ir vairāk nekā 200 veidņu, nodrošinot krāpniekiem plašu izvēli, lai pielāgotu viņu maldinošās kampaņas.
Darcula atšķiras ar to, ka tā stratēģiski izmanto Rich Communication Services (RCS) protokolu tādām platformām kā Google Messages un iMessage, nevis paļaujas uz tradicionālajām SMS, lai izplatītu pikšķerēšanas ziņojumus. Šī pieeja uzlabo tās uzbrukumu efektivitāti, izmantojot RCS uzlabotās iespējas, potenciāli palielinot pikšķerēšanas mēģinājumu panākumu līmeni.
Satura rādītājs
Darcula pikšķerēšanas platforma kļūst arvien populārāka kibernoziedznieku vidū
Pētnieki ir novērojuši pieaugošu tendenci kibernoziedzības jomā, pieaugot Darcula pikšķerēšanas platformas popularitātei. Šī platforma pēdējā gada laikā ir bijusi iesaistīta daudzos nozīmīgos pikšķerēšanas uzbrukumos, kas vērsti gan pret Apple, gan Android ierīču lietotājiem Apvienotajā Karalistē, kā arī organizējot paku izkrāpšanu, kas uzdodas par ASV pasta dienestu (USPS). Pretstatā tradicionālajām pikšķerēšanas metodēm Darcula izmanto tādas modernas tehnoloģijas kā JavaScript, React, Docker un Harbour, veicinot nepārtrauktus atjauninājumus un jaunu funkciju vienmērīgu integrāciju, nepieprasot klientiem atkārtoti instalēt pikšķerēšanas komplektus.
Darcula piedāvātajā pikšķerēšanas komplektā ir 200 veidņu kolekcija, kas paredzēta, lai uzdotos par zīmoliem un organizācijām vairāk nekā 100 valstīs. Šajās veidnēs ir augstas kvalitātes galvenās lapas, kas ir lokalizētas ar precīzu valodu, logotipiem un saturu.
Lai iestatītu pikšķerēšanas kampaņu, krāpnieki izvēlas zīmolu, ar kuru uzdodas, un izpilda iestatīšanas skriptu, kas instalē atbilstošo pikšķerēšanas vietni kopā ar tās pārvaldības informācijas paneli tieši Docker vidē. Sistēma izmanto atvērtā pirmkoda konteineru reģistru Harbor Docker attēlu mitināšanai, savukārt pašas pikšķerēšanas vietnes tiek izstrādātas, izmantojot React.
Pēc pētnieku domām, Darcula pakalpojums parasti izmanto augstākā līmeņa domēnus, piemēram, ".top" un ".com", lai pikšķerēšanas uzbrukumiem mitinātu speciāli reģistrētus domēnus. Aptuveni vienu trešdaļu no šiem domēniem atbalsta Cloudflare, plaši izmantots satura piegādes tīkls un interneta drošības uzņēmums.
Darcula atsakās no iedibinātajiem pikšķerēšanas kanāliem un metodēm
Darcula atsakās no parastās uz SMS balstītas taktikas, izmantojot Rich Communication Services (RCS) operētājsistēmai Android un iMessage operētājsistēmai iOS, lai nosūtītu upuriem ziņojumus ar saitēm uz pikšķerēšanas vietrāžiem URL. Šī pieeja piedāvā vairākas priekšrocības, jo adresāti vairāk sliecas uztvert šādu saziņu kā īstu, tādējādi uzticoties papildu drošības pasākumiem, kas raksturīgi RCS un iMessage, kas nav pieejami SMS. Turklāt, pateicoties pilnīgai šifrēšanai, ko atbalsta RCS un iMessage, pikšķerēšanas ziņojumu pārtveršana un bloķēšana, pamatojoties uz to saturu, kļūst neiespējama.
Nesenie likumdošanas centieni visā pasaulē, kuru mērķis ir apkarot uz SMS balstītus kibernoziegumus, bloķējot aizdomīgus ziņojumus, visticamāk, mudinās pikšķerēšanas kā pakalpojuma (PaaS) platformas izpētīt alternatīvus protokolus, piemēram, RCS un iMessage. Tomēr šiem protokoliem ir savi izaicinājumi, kas kibernoziedzniekiem ir jāpārvar.
Piemēram, Apple nosaka ierobežojumus kontiem, kas sūta lielus ziņojumu apjomus vairākiem adresātiem. Tajā pašā laikā Google nesen ieviesa ierobežojumu, kas neļauj iesakņotajām Android ierīcēm sūtīt vai saņemt RCS ziņojumus. Kibernoziedznieki mēģina apiet šos ierobežojumus, izveidojot daudzus Apple ID un izmantojot ierīču fermas, lai no katras ierīces nosūtītu nelielu skaitu ziņojumu.
Lielāks šķērslis ir iMessage drošības līdzeklis, kas ļauj adresātiem noklikšķināt uz URL saites tikai pēc atbildes uz ziņojumu. Lai apietu šo pasākumu, pikšķerēšanas ziņojums aicina adresātu atbildēt ar “Y” vai “1”, pirms tiek atkārtoti atvērts ziņojums, lai piekļūtu saitei. Šis papildu solis var radīt berzi, potenciāli samazinot pikšķerēšanas uzbrukuma efektivitāti.
Kā atpazīt pikšķerēšanu vai apšaubāmus ziņojumus?
Lietotājiem ir ļoti svarīgi piesardzīgi izturēties pret visiem ienākošajiem ziņojumiem, kas liek viņiem noklikšķināt uz URL, jo īpaši, ja sūtītājs nav pazīstams. Pikšķerēšanas draudu dalībnieki nepārtraukti ievieš jaunas piegādes metodes dažādās platformās un lietojumprogrammās, tādēļ lietotājiem ir svarīgi saglabāt modrību. Pētnieki iesaka lietotājiem uzmanīties no tādām pazīmēm kā nepareiza gramatika, pareizrakstības kļūdas, pārāk vilinoši piedāvājumi vai prasības nekavējoties rīkoties, jo tā ir pikšķerēšanas taktikas izplatīta taktika.
