Darcula Phishing-sett
En nylig oppstått phishing-as-a-Service (PaaS) kjent som 'Darcula' har dukket opp, og bruker svimlende 20 000 domener for å etterligne anerkjente merkevarer og stjele påloggingsinformasjon hovedsakelig fra Android- og iPhone-brukere i mer enn 100 land. Dette sofistikerte verktøyet har blitt brukt mot et mangfold av tjenester og organisasjoner som spenner over post-, finans-, statlige og skatteavdelinger, samt telekommunikasjonsselskaper, flyselskaper og forsyningsleverandører. Den har et omfattende arsenal på over 200 maler, som gir svindlere et bredt utvalg for å skreddersy deres løgnaktige kampanjer.
Det som skiller Darcula er dens strategiske bruk av Rich Communication Services (RCS)-protokollen for plattformer som Google Messages og iMessage i stedet for å stole på tradisjonell SMS for å spre phishing-meldinger. Denne tilnærmingen forbedrer effektiviteten av angrepene sine ved å utnytte de forbedrede egenskapene til RCS, og potensielt øke suksessraten for phishing-forsøk.
Innholdsfortegnelse
Darcula-phishing-plattformen får gjennomslag blant nettkriminelle
Forskere har observert en stigende trend i nettkriminalitetsdomenet med den økende populariteten til Darcula phishing-plattformen. Denne plattformen har vært involvert i en rekke fremtredende phishing-angrep i løpet av det siste året, rettet mot brukere av både Apple- og Android-enheter i Storbritannia, samt orkestrert pakkesvindel som utgir seg for å være United States Postal Service (USPS). I motsetning til tradisjonelle phishing-teknikker, utnytter Darcula moderne teknologier som JavaScript, React, Docker og Harbor, noe som muliggjør kontinuerlige oppdateringer og sømløs integrasjon av nye funksjoner uten at klienter må installere phishing-sett på nytt.
Phishing-settet som tilbys av Darcula består av en samling av 200 maler designet for å etterligne merkevarer og organisasjoner i mer enn 100 land. Disse malene har landingssider av høy kvalitet som er lokalisert med nøyaktig språk, logoer og innhold.
For å sette opp en phishing-kampanje velger svindlere et merke for å etterligne seg og utfører et oppsettskript, som installerer det tilsvarende phishing-nettstedet sammen med administrasjonsdashbordet direkte i et Docker-miljø. Systemet bruker åpen kildekode-beholderregisteret Harbor for hosting av Docker-bilder, mens selve phishing-nettstedene utvikles ved hjelp av React.
Ifølge forskere bruker Darcula-tjenesten typisk toppnivådomener som '.top' og '.com' for å være vert for formålsregistrerte domener for deres phishing-angrep. Omtrent en tredjedel av disse domenene støttes av Cloudflare, et mye brukt innholdsleveringsnettverk og Internett-sikkerhetsselskap.
Darcula flytter seg bort fra etablerte phishing-kanaler og -metoder
Darcula bryter bort fra konvensjonelle SMS-baserte taktikker ved å utnytte Rich Communication Services (RCS) for Android og iMessage for iOS for å sende meldinger som inneholder lenker til phishing-URLer til ofre. Denne tilnærmingen gir flere fordeler, ettersom mottakere er mer tilbøyelige til å oppfatte slik kommunikasjon som ekte, og stoler på de ekstra sikkerhetstiltakene som ligger i RCS og iMessage, som ikke er tilgjengelige i SMS. Videre, på grunn av ende-til-ende-krypteringen som støttes av RCS og iMessage, blir det umulig å avskjære og blokkere phishing-meldinger basert på innholdet deres.
Nylig lovgivningsarbeid over hele verden rettet mot å bekjempe SMS-basert nettkriminalitet ved å hindre mistenkelige meldinger, vil sannsynligvis få phishing-as-a-Service (PaaS)-plattformer til å utforske alternative protokoller som RCS og iMessage. Imidlertid kommer disse protokollene med sine egne sett med utfordringer som nettkriminelle må navigere.
For eksempel pålegger Apple begrensninger på kontoer som sender store mengder meldinger til flere mottakere. Samtidig har Google nylig innført en begrensning som hindrer rotfestede Android-enheter i å sende eller motta RCS-meldinger. Nettkriminelle forsøker å omgå disse begrensningene ved å opprette en rekke Apple-IDer og bruke enhetsfarmer for å sende et lite antall meldinger fra hver enhet.
En mer formidabel hindring ligger i en iMessage-sikring som tillater mottakere å klikke på en URL-lenke først etter å ha svart på meldingen. For å omgå dette tiltaket ber phishing-meldingen mottakeren om å svare med "Y" eller "1" før meldingen åpnes på nytt for å få tilgang til koblingen. Dette ekstra trinnet kan introdusere friksjon, og potensielt redusere effektiviteten til phishing-angrepet.
Hvordan gjenkjenne phishing eller tvilsomme meldinger?
Det er avgjørende for brukere å bruke en forsiktig tilnærming til alle innkommende meldinger som ber dem om å klikke på URL-er, spesielt hvis avsenderen ikke er kjent. Aktører innen phishing-trussel innoverer kontinuerlig nye leveringsmetoder på tvers av ulike plattformer og applikasjoner, noe som gjør det viktig for brukere å være årvåkne. Forskere råder brukere til å være på vakt mot tegn som feil grammatikk, stavefeil, altfor fristende tilbud eller krav om umiddelbar handling, da dette er vanlige taktikker som brukes av phishing-taktikker.
