ชุดฟิชชิ่ง Darcula

Phishing-as-a-Service (PaaS) ที่เพิ่งเกิดขึ้นใหม่ที่เรียกว่า 'Darcula' ได้ปรากฏตัวขึ้น โดยใช้โดเมนจำนวน 20,000 โดเมนเพื่อเลียนแบบแบรนด์ที่มีชื่อเสียงและขโมยข้อมูลรับรองการเข้าสู่ระบบจากผู้ใช้ Android และ iPhone เป็นหลักในกว่า 100 ประเทศ เครื่องมือที่ซับซ้อนนี้ถูกนำมาใช้กับบริการและองค์กรที่หลากหลาย ครอบคลุมแผนกไปรษณีย์ การเงิน ภาครัฐ และภาษี รวมถึงบริษัทโทรคมนาคม สายการบิน และผู้ให้บริการสาธารณูปโภค มีเทมเพลตให้เลือกมากกว่า 200 แบบ ช่วยให้ผู้ฉ้อโกงมีตัวเลือกมากมายเพื่อปรับแต่งแคมเปญหลอกลวงของพวกเขา

สิ่งที่ทำให้ Darcula แตกต่างคือการใช้ประโยชน์เชิงกลยุทธ์ของโปรโตคอล Rich Communication Services (RCS) สำหรับแพลตฟอร์ม เช่น Google Messages และ iMessage แทนที่จะใช้ SMS แบบดั้งเดิมเพื่อเผยแพร่ข้อความฟิชชิ่ง แนวทางนี้ช่วยเพิ่มประสิทธิภาพในการโจมตีโดยใช้ประโยชน์จากความสามารถที่ได้รับการปรับปรุงของ RCS ซึ่งอาจเพิ่มอัตราความสำเร็จของการพยายามฟิชชิ่ง

แพลตฟอร์มฟิชชิ่ง Darcula กำลังได้รับความสนใจในหมู่อาชญากรไซเบอร์

นักวิจัยได้สังเกตเห็นแนวโน้มที่เพิ่มขึ้นในโดเมนอาชญากรรมในโลกไซเบอร์พร้อมกับความนิยมที่เพิ่มขึ้นของแพลตฟอร์มฟิชชิ่ง Darcula แพลตฟอร์มนี้มีส่วนเกี่ยวข้องกับการโจมตีแบบฟิชชิ่งที่โดดเด่นหลายครั้งในปีที่ผ่านมา โดยกำหนดเป้าหมายไปที่ผู้ใช้อุปกรณ์ Apple และ Android ในสหราชอาณาจักร เช่นเดียวกับการจัดการแพ็คเกจหลอกลวงที่แอบอ้างเป็นบริการไปรษณีย์ของสหรัฐอเมริกา (USPS) ตรงกันข้ามกับเทคนิคฟิชชิ่งแบบดั้งเดิม Darcula ใช้ประโยชน์จากเทคโนโลยีสมัยใหม่ เช่น JavaScript, React, Docker และ Harbor อำนวยความสะดวกในการอัปเดตอย่างต่อเนื่องและการผสานรวมคุณสมบัติใหม่ได้อย่างราบรื่น โดยไม่ต้องให้ลูกค้าติดตั้งชุดฟิชชิ่งใหม่

ชุดฟิชชิ่งที่นำเสนอโดย Darcula ประกอบด้วยคอลเลกชันเทมเพลต 200 รายการที่ออกแบบมาเพื่อปลอมแปลงแบรนด์และองค์กรในกว่า 100 ประเทศ เทมเพลตเหล่านี้มีแลนดิ้งเพจคุณภาพสูงซึ่งได้รับการแปลเป็นภาษา โลโก้ และเนื้อหาที่ถูกต้อง

ในการตั้งค่าแคมเปญฟิชชิ่ง ผู้โจมตีจะเลือกแบรนด์เพื่อปลอมตัวและดำเนินการสคริปต์การตั้งค่า ซึ่งจะติดตั้งไซต์ฟิชชิ่งที่เกี่ยวข้องพร้อมกับแดชบอร์ดการจัดการโดยตรงในสภาพแวดล้อม Docker ระบบใช้โอเพ่นซอร์สคอนเทนเนอร์รีจิสตรีฮาร์เบอร์สำหรับการโฮสต์อิมเมจ Docker ในขณะที่ไซต์ฟิชชิ่งได้รับการพัฒนาโดยใช้ React

ตามที่นักวิจัยระบุว่า บริการ Darcula มักใช้โดเมนระดับบนสุด เช่น '.top' และ '.com' เพื่อโฮสต์โดเมนที่ลงทะเบียนตามวัตถุประสงค์สำหรับการโจมตีแบบฟิชชิ่ง ประมาณหนึ่งในสามของโดเมนเหล่านี้ได้รับการสนับสนุนโดย Cloudflare ซึ่งเป็นเครือข่ายการจัดส่งเนื้อหาที่ใช้กันอย่างแพร่หลายและบริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต

Darcula ย้ายออกจากช่องทางและวิธีการฟิชชิ่งที่เป็นที่ยอมรับ

Darcula หลุดพ้นจากกลยุทธ์ที่ใช้ SMS ทั่วไปโดยใช้ประโยชน์จาก Rich Communication Services (RCS) สำหรับ Android และ iMessage สำหรับ iOS เพื่อส่งข้อความที่มีลิงก์ไปยัง URL ฟิชชิ่งไปยังเหยื่อ วิธีการนี้มีข้อดีหลายประการ เนื่องจากผู้รับมีแนวโน้มที่จะรับรู้ว่าการสื่อสารดังกล่าวเป็นของแท้ โดยวางใจในมาตรการรักษาความปลอดภัยเพิ่มเติมที่มีอยู่ใน RCS และ iMessage ซึ่งไม่สามารถใช้งานได้ใน SMS นอกจากนี้ เนื่องจากการเข้ารหัสจากต้นทางถึงปลายทางที่รองรับโดย RCS และ iMessage การสกัดกั้นและบล็อกข้อความฟิชชิ่งตามเนื้อหาจึงไม่สามารถทำได้

ความพยายามทางกฎหมายล่าสุดทั่วโลกที่มุ่งเป้าไปที่การต่อสู้กับอาชญากรรมทางไซเบอร์ทาง SMS โดยการขัดขวางข้อความที่น่าสงสัยมีแนวโน้มที่จะกระตุ้นให้แพลตฟอร์ม Phishing-as-a-Service (PaaS) สำรวจโปรโตคอลทางเลือกเช่น RCS และ iMessage อย่างไรก็ตาม โปรโตคอลเหล่านี้มาพร้อมกับความท้าทายที่อาชญากรไซเบอร์ต้องเผชิญ

ตัวอย่างเช่น Apple กำหนดข้อจำกัดในบัญชีที่ส่งข้อความจำนวนมากไปยังผู้รับหลายคน ในเวลาเดียวกัน Google ได้เปิดตัวข้อจำกัดในการป้องกันอุปกรณ์ Android ที่รูทแล้วไม่ให้ส่งหรือรับข้อความ RCS อาชญากรไซเบอร์พยายามหลีกเลี่ยงข้อจำกัดเหล่านี้ด้วยการสร้าง Apple ID จำนวนมาก และใช้ฟาร์มอุปกรณ์เพื่อส่งข้อความจำนวนเล็กน้อยจากแต่ละอุปกรณ์

อุปสรรคที่น่ากลัวยิ่งกว่านั้นอยู่ที่การป้องกันของ iMessage ซึ่งอนุญาตให้ผู้รับคลิกลิงก์ URL หลังจากตอบกลับข้อความแล้วเท่านั้น เพื่อหลีกเลี่ยงมาตรการนี้ ข้อความฟิชชิ่งจะแจ้งให้ผู้รับตอบกลับด้วย 'Y' หรือ '1' ก่อนที่จะเปิดข้อความอีกครั้งเพื่อเข้าถึงลิงก์ ขั้นตอนเพิ่มเติมนี้อาจส่งผลให้เกิดความขัดแย้ง ซึ่งอาจลดประสิทธิภาพของการโจมตีแบบฟิชชิ่ง

จะจดจำข้อความฟิชชิ่งหรือข้อความที่น่าสงสัยได้อย่างไร

จำเป็นอย่างยิ่งที่ผู้ใช้จะต้องใช้แนวทางที่ระมัดระวังต่อข้อความขาเข้าที่แจ้งให้คลิก URL โดยเฉพาะอย่างยิ่งหากผู้ส่งไม่คุ้นเคย ผู้ก่อภัยคุกคามแบบฟิชชิ่งคิดค้นวิธีการจัดส่งใหม่ๆ อย่างต่อเนื่องบนแพลตฟอร์มและแอปพลิเคชันต่างๆ ทำให้ผู้ใช้ต้องระมัดระวังอยู่เสมอ นักวิจัยแนะนำให้ผู้ใช้ระวังสัญญาณต่างๆ เช่น ไวยากรณ์ไม่ถูกต้อง การสะกดผิด ข้อเสนอที่น่าดึงดูดมากเกินไป หรือการเรียกร้องให้ดำเนินการทันที เนื่องจากสิ่งเหล่านี้เป็นกลยุทธ์ทั่วไปที่ใช้โดยกลยุทธ์ฟิชชิ่ง