Darcula Phishing Kit
Phishing-as-a-Service (PaaS) yang baru muncul dikenali sebagai 'Darcula' telah muncul, menggunakan 20,000 domain yang mengejutkan untuk meniru jenama terkenal dan bukti kelayakan log masuk pencuri terutamanya daripada pengguna Android dan iPhone di lebih 100 negara. Alat canggih ini telah digunakan terhadap pelbagai jenis perkhidmatan dan organisasi yang merangkumi jabatan pos, kewangan, kerajaan dan percukaian, serta syarikat telekomunikasi, syarikat penerbangan dan pembekal utiliti. Ia mempunyai senjata yang luas dengan lebih 200 templat, memberikan penipu dengan pelbagai pilihan untuk menyesuaikan kempen penipuan mereka.
Apa yang membezakan Darcula ialah penggunaan strategik protokol Rich Communication Services (RCS) untuk platform seperti Google Messages dan iMessage dan bukannya bergantung pada SMS tradisional untuk menyebarkan mesej pancingan data. Pendekatan ini meningkatkan keberkesanan serangannya dengan memanfaatkan keupayaan RCS yang dipertingkat, yang berpotensi meningkatkan kadar kejayaan percubaan pancingan data.
Isi kandungan
Platform Phishing Darcula Mendapat Daya Tarik Di Kalangan Penjenayah Siber
Penyelidik telah melihat trend yang semakin meningkat dalam domain jenayah siber dengan semakin popularnya platform pancingan data Darcula. Platform ini telah terlibat dalam pelbagai serangan pancingan data yang terkenal sepanjang tahun lalu, menyasarkan pengguna kedua-dua peranti Apple dan Android di UK, serta merancang penipuan pakej yang menyamar sebagai Perkhidmatan Pos Amerika Syarikat (USPS). Berbeza dengan teknik pancingan data tradisional, Darcula memanfaatkan teknologi moden seperti JavaScript, React, Docker dan Harbour, memudahkan kemas kini berterusan dan penyepaduan lancar ciri baharu tanpa memerlukan pelanggan memasang semula kit pancingan data.
Kit pancingan data yang ditawarkan oleh Darcula terdiri daripada koleksi 200 templat yang direka untuk menyamar sebagai jenama dan organisasi di lebih 100 negara. Templat ini menampilkan halaman pendaratan berkualiti tinggi yang disetempatkan dengan bahasa, logo dan kandungan yang tepat.
Untuk menyediakan kempen pancingan data, penipu memilih jenama untuk menyamar dan melaksanakan skrip persediaan, yang memasang tapak pancingan data yang sepadan bersama papan pemuka pengurusannya terus ke dalam persekitaran Docker. Sistem ini menggunakan pendaftaran kontena sumber terbuka Harbor untuk mengehos imej Docker, manakala tapak pancingan data sendiri dibangunkan menggunakan React.
Menurut penyelidik, perkhidmatan Darcula biasanya menggunakan domain peringkat atas seperti '.top' dan '.com' untuk mengehoskan domain berdaftar tujuan untuk serangan pancingan data mereka. Kira-kira satu pertiga daripada domain ini disokong oleh Cloudflare, rangkaian penyampaian kandungan yang digunakan secara meluas dan syarikat keselamatan Internet.
Darcula Beralih Daripada Saluran dan Kaedah Phishing yang Ditubuhkan
Darcula melepaskan diri daripada taktik berasaskan SMS konvensional dengan memanfaatkan Perkhidmatan Komunikasi Kaya (RCS) untuk Android dan iMessage untuk iOS untuk menghantar mesej yang mengandungi pautan ke URL pancingan data kepada mangsa. Pendekatan ini menawarkan beberapa kelebihan, kerana penerima lebih cenderung untuk menganggap komunikasi tersebut sebagai tulen, meletakkan kepercayaan pada langkah keselamatan tambahan yang wujud dalam RCS dan iMessage, yang tidak tersedia dalam SMS. Tambahan pula, disebabkan penyulitan hujung ke hujung yang disokong oleh RCS dan iMessage, memintas dan menyekat mesej pancingan data berdasarkan kandungannya menjadi tidak dapat dilaksanakan.
Usaha perundangan terbaharu di seluruh dunia yang bertujuan untuk memerangi jenayah siber berasaskan SMS dengan menghalang mesej yang mencurigakan berkemungkinan mendorong platform Phishing-as-a-Service (PaaS) untuk meneroka protokol alternatif seperti RCS dan iMessage. Walau bagaimanapun, protokol ini datang dengan set cabaran mereka sendiri yang mesti dilalui oleh penjenayah siber.
Sebagai contoh, Apple mengenakan sekatan ke atas akaun yang menghantar sejumlah besar mesej kepada berbilang penerima. Pada masa yang sama, Google baru-baru ini telah memperkenalkan had yang menghalang peranti Android berakar daripada menghantar atau menerima mesej RCS. Penjenayah siber cuba untuk memintas kekangan ini dengan mencipta banyak ID Apple dan menggunakan ladang peranti untuk menghantar sebilangan kecil mesej daripada setiap peranti.
Halangan yang lebih menggerunkan terletak pada perlindungan iMessage yang membenarkan penerima mengklik pada pautan URL hanya selepas membalas mesej. Untuk memintas langkah ini, mesej pancingan data menggesa penerima membalas dengan 'Y' atau '1' sebelum membuka semula mesej untuk mengakses pautan. Langkah tambahan ini mungkin menimbulkan geseran, yang berpotensi mengurangkan keberkesanan serangan pancingan data.
Bagaimana untuk Mengenali Mesej Phishing atau Meragukan?
Adalah penting bagi pengguna untuk menggunakan pendekatan berhati-hati terhadap sebarang mesej masuk yang menggesa mereka mengklik pada URL, terutamanya jika pengirim tidak biasa. Aktor ancaman pancingan data terus berinovasi kaedah penyampaian baharu merentasi pelbagai platform dan aplikasi, menjadikannya penting bagi pengguna untuk terus berwaspada. Penyelidik menasihatkan pengguna supaya berhati-hati dengan tanda-tanda seperti tatabahasa yang salah, kesilapan ejaan, tawaran yang terlalu menarik atau tuntutan untuk tindakan segera, kerana ini adalah taktik biasa yang digunakan oleh taktik pancingan data.
