Công cụ lừa đảo Sniper Dz
Trong năm qua, các nhà nghiên cứu đã xác định được hơn 140.000 trang web lừa đảo có liên kết đến nền tảng Phishing-as-a-Service (PhaaS) được gọi là Sniper Dz, làm nổi bật việc tội phạm mạng sử dụng rộng rãi nền tảng này để đánh cắp thông tin đăng nhập.
Sniper Dz cung cấp cho những kẻ lừa đảo tiềm năng một bảng điều khiển quản trị trực tuyến có nhiều mẫu lừa đảo. Theo báo cáo kỹ thuật, người dùng có thể sử dụng dịch vụ lưu trữ riêng của Sniper Dz cho các trang này hoặc tải xuống các mẫu để chạy trên máy chủ của riêng họ.
Sức hấp dẫn của nền tảng này còn được tăng cường hơn nữa bởi thực tế là các dịch vụ này được cung cấp miễn phí. Tuy nhiên, lưu ý rằng thông tin đăng nhập thu thập được thông qua các trang web lừa đảo này được gửi lại cho các nhà điều hành nền tảng PhaaS, một chiến thuật được các chuyên gia gọi là trộm cắp kép.
Mục lục
Tội phạm mạng ngày càng dựa vào nền tảng PhaaS
Các nền tảng Phishing-as-a-Service (PhaaS) đang trở thành điểm vào ngày càng phổ biến đối với những tên tội phạm mạng đầy tham vọng, cho phép những cá nhân có ít kỹ năng kỹ thuật thực hiện các cuộc tấn công lừa đảo quy mô lớn. Các bộ công cụ lừa đảo này có thể dễ dàng mua được trên Telegram, nơi các kênh và nhóm chuyên dụng hỗ trợ mọi khía cạnh của chuỗi tấn công, từ dịch vụ lưu trữ đến gửi tin nhắn lừa đảo.
Sniper Dz là một nền tảng như vậy, vận hành một kênh Telegram tự hào có hơn 7.170 người đăng ký tính đến ngày 1 tháng 10 năm 2024. Kênh này đã hoạt động từ ngày 25 tháng 5 năm 2020. Đáng chú ý, sau báo cáo của các chuyên gia an ninh mạng, những người quản lý kênh này đã kích hoạt tính năng tự động xóa, xóa các bài đăng sau một tháng. Động thái này có thể cho thấy nỗ lực xóa dấu vết hoạt động của họ, mặc dù các tin nhắn trước đó vẫn có thể truy cập được trong lịch sử trò chuyện. Nền tảng PhaaS có sẵn trên clearnet và người dùng phải tạo một tài khoản để truy cập vào 'chiến thuật và công cụ hack' của nền tảng này.
Video hướng dẫn về các công cụ lừa đảo
Một video được tải lên Vimeo vào tháng 1 năm 2021 cho thấy dịch vụ này cung cấp các mẫu chiến thuật sẵn sàng sử dụng cho nhiều nền tảng trực tuyến, bao gồm X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat và PayPal, có sẵn bằng tiếng Anh, tiếng Ả Rập và tiếng Pháp. Video này đã thu hút hơn 67.000 lượt xem cho đến nay.
Ngoài ra, các nhà nghiên cứu đã tìm thấy các video hướng dẫn trên YouTube hướng dẫn người xem các bước cần thiết để tải xuống các mẫu từ Sniper Dz và tạo các trang đích giả cho các trò chơi như PUBG và Free Fire bằng các nền tảng hợp pháp như Google Blogger. Tuy nhiên, vẫn chưa rõ liệu những người tạo hướng dẫn này có liên kết với các nhà phát triển của Sniper Dz hay chỉ là người dùng dịch vụ.
Công cụ lừa đảo Sniper Dz hoạt động như thế nào
Sniper Dz cung cấp khả năng lưu trữ các trang lừa đảo trên cơ sở hạ tầng của riêng mình, cung cấp các liên kết tùy chỉnh hướng người dùng đến các trang này. Để tránh bị phát hiện, các trang web này được ẩn sau một máy chủ proxy hợp pháp (proxymesh.com), được nhóm Sniper Dz cấu hình để tự động tải nội dung lừa đảo từ máy chủ của riêng mình mà không cần giao tiếp trực tiếp.
Phương pháp này giúp bảo vệ các máy chủ phụ trợ của Sniper Dz, vì trình duyệt của nạn nhân hoặc trình thu thập thông tin bảo mật coi máy chủ proxy là chịu trách nhiệm phân phối tải trọng lừa đảo. Ngoài ra, tội phạm mạng có thể tải xuống các mẫu trang lừa đảo dưới dạng tệp HTML để sử dụng ngoại tuyến và lưu trữ chúng trên máy chủ của riêng họ. Sniper Dz cũng cung cấp các công cụ bổ sung để chuyển đổi các mẫu này sang định dạng Blogger, cho phép chúng được lưu trữ trên các tên miền Blogspot.
Thông tin đăng nhập thu thập được cuối cùng được hiển thị trên bảng điều khiển quản trị có thể truy cập bằng cách đăng nhập vào trang web clearnet. Các chuyên gia đã ghi nhận sự gia tăng đột biến trong hoạt động lừa đảo sử dụng Sniper Dz, đặc biệt là nhắm vào người dùng Web tại Hoa Kỳ, bắt đầu từ tháng 7 năm 2024.
Các trang lừa đảo liên quan đến Sniper Dz được thiết kế để đánh cắp thông tin đăng nhập của nạn nhân và theo dõi họ thông qua một cơ sở hạ tầng tập trung, có khả năng hỗ trợ Sniper Dz thu thập thông tin đăng nhập bị đánh cắp bởi những kẻ lừa đảo sử dụng nền tảng PhaaS của chúng.
