Перевод статьи https://www.cyberark.com/resources/threat-research-blog/phishing-as-a-service
Команда нашего сервиса постоянно читает интересности, многие из которых на английском. Мы решили периодически делать переводы английских статей и выкладывать их для комьюнити. Надеемся, что наши статьи помогут вам в темных делах
Вступление
Все знают что такое фишинг. Он с нами на протяжении более 20 лет. Но сейчас, кажется, что фишинг стал более доступным, чем раньше. Эта статья рассказывает как мошенники могут получить пользу от увеличения популярности продаж услуг фишинга в виде сервиса.
В этой статье вы узнаете
Поменяться ролями: превращение из жертвы в охотника
• Вступление в чаты, где злоумышленники состоят
• Обнаружение идентификационных деталей к серверу, где злоумышленники хранят свои файлы
Легкий фишинг: насколько легко использовать набор для фишинга, чтобы получить доступ к личной информации
Анализ и подведение итогов: общий обзор различных фишинг кампаний.
Получение фишинговой ссылки
Все началось, когда мы получили СМС от “Isracard” (это имя Израильской компании предоставляющей финансовые услуги).
Смс содержало в себе следующую ссылку: https://ow[.]ly/tthX30SiE8w (Картинка 1). Эта ссылка является короткой ссылкой ведущей к: https://3fed85ce0a9501496.temporary[.]link/2/ar22/aramex-infos.php
Картинка 1. В сообщении: Вам нужно обновить платежную информацию в целях безопасности
Нажимая на ссылку вас перекидывает на следующую страницу по заполнению биллинг информации (Картинка 2), которая на первый взгляд выглядит странно. Похоже на то, что злоумышленники сделали зеркально похожую страницу реальной компании, чтобы обманным путем заставить жертв ввести свою личную информацию, такую как данные СС, СVV код и срок действия карты. Когда кнопка подтверждения нажимается информация отправляется на сервер злоумышленников, после этого жертва перенаправляется на сайт www.aramex.com
Картинка 2. Как выглядит фишинговая страница
Мы пошарились на сайте, чтобы посмотреть можно ли найти что-то интересное. И, к счастью, мы получили доступ к нескольким директориям, которые можете видеть на Картинке 3. Одна из директорий, под названием “2” позволила нам посмотреть содержимое (список директорий). После того, как мы покопались внутри, мы увидели, что там был файловый архив под название “ar22.zip”, который содержал полный пакет файлов для фишинга.
Картинка 3. Содержимое архива с фишем (после скачивания и извлечения zip файла)
Охота за злоумышленниками
Почти сразу мы заметили файл под названием “config.php”. Этот файл содержал токен для Телеграм бота(Картинка 4). Используя этот токен для Телеграм мы смогли получить информацию о подписанных людях на бота в ТГ (Картинка 5).
Другими словами, у нас были детали по каждой группе и пользователю фишинговой кампании.
Картинка 4. Видно пользователей и группы, которые пользуются этим ботом
Мы нашли 2 канала, которые были либо полностью открыты, либо не имели ограничений для доступа. Это позволило нам с легкостью рассмотреть содержимое, даже не являясь членом группы или без получения приглашения.
Вот какая информация была доступна:
• Чаты между членами группы
• Как и где купить наборы для фишинга
• Информация для доступа к VPS серверу (где хранились наборы для фишинга)
• Обсуждения касательно будущих фишинговых кампаний
Картинка 5. Общение между членами группы
Раз у нас были логин/пароль, мы смогли получить доступ к VPS серверу(Картинка 6). На сервере мы увидели несколько активных фишинг кампаний, где каждый набор относился к разной стране.
Картинка 6. Все наборы фишинга, которые эта группа отправляла жертвам. Каждая папка содержит отдельный набор фишинга.
Помимо всего прочего там были фишинг кампании, имитирующие страницы крупных известных организаций (Картинка 7)
Картинка 7. Несколько зеркальных сайтов, которые мы нашли там
Поиск наборов для фишинга на продажу
После того как мы пошарились в этих группах, мы нашли дополнительную информацию о создателях этих фишинг пакетов. (Картинки 8, 9)
Некоторые ники:
◆ spoxcoder
◆ Officiel[.]UGEYO
◆ Spox DZ
◆ ARON- []TN
◆ ITNA1337 (предыдущий ник Cyb3r_3rr0r)
◆ Shadow
После того как мы поискали эти ники в телеге, даркнете и гугле, мы отследили группы этих создателей. Эти группы имели инструменты и информацию, которая вела к фишинговым атакам. Вот что они содержали:
• Электронные почты, используемые для рассылки вредоносных ссылок
• Телефоны потенциальных жертв
• Мануалы
• Фишинговые наборы для продажи
Картинка 8. Часть того, что мы нашли на канале ITNA1337
Картинка 9. Часть того, что мы нашли на канале “SpoxCoder NewChannel”
Создание нашей собственной фишинговой атаки
Во время исследования мы пришли к выводу, что создать фишинговую атаку довольно просто. Не обязательно быть технически подкованным, чтобы сделать это. Мы решили создать фишинговую кампанию, чтобы продемонстрировать это (Картинка 12).
Вот что нужно перед запуском кампании:
• Сервер/VPS: используется для хранения набора фишинга
• Короткая ссылка: используется для того, чтобы спрятать реальную ссылку от жертв
• Телефонные номера: мы нашли список потенциальных номеров в одной из групп в телеге
Для создания сервера/VPS мы использовали сервис Амазона EC2. Новые пользователи могут использовать сервис бесплатно один год (на момент написания статьи, 16 февраля 2023).
На сервере мы использовали Apache чтобы поставить веб сервер. После этого мы загрузили фишинговый набор с группы телеги на наш сервер.
Чтобы спрятать реальную ссылку и укоротить её, мы использовали bit.ly (Картинка 10)
После того как мы укоротили ссылку к серверу, где фишинговый набор хранился, кампания была готова (Картинка 11)
Весь процесс занимает в районе 10 минут.
Картинка 10. Короткая ссылка на сайт
Картинка 11. Короткая ссылка используемая в кампании
Картинка 12. Шаги фишинговой кампании
Картинка 13. Показывает нам всю информацию, которая отправляется в группу в телеге, которая была создана для этой цели
Заключение
Поговорим о цифрах. Информация ниже основана на группах телеги и логах с VPS сервера:
• Israel Credit Company: злоумышленники собрали кредитные карты с почти 1200 жертв.
• Global Bank: персональная информация 450 людей, включая кредитные карты, логины/пароли к сайту и SSN.
• Крупный стримминговый сервис: информация о 60 людях, включая кредитные карты, логины/пароли и куки.
После исследования нескольких фишинговых атаках мы пришли к следующим выводам:
Большинство аттак использовали наборы купленные на различных платформах, таких как телеграм, shopify и даркнет. Не требуется глубокое техническое знание чтобы создавать/управлять ими.
Благодаря проблеме с СМС протоколом, злоумышленник может подменять имя отправителя. Это заставляет жертв верить что СМС от реальной компании, а не от мошенников.
Как не стать жертвой
✓ В фишинговых кампаниях чаще всего от жертвы требуют ввести личную информацию, такую как данные кредитных карт, номер социального страхования, номер телефона, электронная почта и тд. Если сомневаетесь - свяжитесь напрямую с компанией, чтобы уточнить и проверить.
✓ Большинство злоумышленников не знакомы с языком жертв, на которых нацелены их кампании и они используют онлайн переводчики, которые не всегда корректно переводят. Обращайте внимание на информацию в тексте, странные формулировки, орфографические ошибки и некорректную грамматику.
✓ Злоумышленники часто используют электронные почты похожие на реальные. Важно внимательно смотреть на email, чтобы увидеть несоответствия.
Мы показали, что злоумышленники не были технарями, и как результат: сервер был подвержен нескольким уязвимостям в системе безопасности, что позволило нам обнаружить фишинговые кампании.
Команда нашего сервиса постоянно читает интересности, многие из которых на английском. Мы решили периодически делать переводы английских статей и выкладывать их для комьюнити. Надеемся, что наши статьи помогут вам в темных делах
Вступление
Все знают что такое фишинг. Он с нами на протяжении более 20 лет. Но сейчас, кажется, что фишинг стал более доступным, чем раньше. Эта статья рассказывает как мошенники могут получить пользу от увеличения популярности продаж услуг фишинга в виде сервиса.
В этой статье вы узнаете
Поменяться ролями: превращение из жертвы в охотника
• Вступление в чаты, где злоумышленники состоят
• Обнаружение идентификационных деталей к серверу, где злоумышленники хранят свои файлы
Легкий фишинг: насколько легко использовать набор для фишинга, чтобы получить доступ к личной информации
Анализ и подведение итогов: общий обзор различных фишинг кампаний.
Получение фишинговой ссылки
Все началось, когда мы получили СМС от “Isracard” (это имя Израильской компании предоставляющей финансовые услуги).
Смс содержало в себе следующую ссылку: https://ow[.]ly/tthX30SiE8w (Картинка 1). Эта ссылка является короткой ссылкой ведущей к: https://3fed85ce0a9501496.temporary[.]link/2/ar22/aramex-infos.php
Картинка 1. В сообщении: Вам нужно обновить платежную информацию в целях безопасности
Нажимая на ссылку вас перекидывает на следующую страницу по заполнению биллинг информации (Картинка 2), которая на первый взгляд выглядит странно. Похоже на то, что злоумышленники сделали зеркально похожую страницу реальной компании, чтобы обманным путем заставить жертв ввести свою личную информацию, такую как данные СС, СVV код и срок действия карты. Когда кнопка подтверждения нажимается информация отправляется на сервер злоумышленников, после этого жертва перенаправляется на сайт www.aramex.com
Картинка 2. Как выглядит фишинговая страница
Мы пошарились на сайте, чтобы посмотреть можно ли найти что-то интересное. И, к счастью, мы получили доступ к нескольким директориям, которые можете видеть на Картинке 3. Одна из директорий, под названием “2” позволила нам посмотреть содержимое (список директорий). После того, как мы покопались внутри, мы увидели, что там был файловый архив под название “ar22.zip”, который содержал полный пакет файлов для фишинга.
Картинка 3. Содержимое архива с фишем (после скачивания и извлечения zip файла)
Охота за злоумышленниками
Почти сразу мы заметили файл под названием “config.php”. Этот файл содержал токен для Телеграм бота(Картинка 4). Используя этот токен для Телеграм мы смогли получить информацию о подписанных людях на бота в ТГ (Картинка 5).
Другими словами, у нас были детали по каждой группе и пользователю фишинговой кампании.
Картинка 4. Видно пользователей и группы, которые пользуются этим ботом
Мы нашли 2 канала, которые были либо полностью открыты, либо не имели ограничений для доступа. Это позволило нам с легкостью рассмотреть содержимое, даже не являясь членом группы или без получения приглашения.
Вот какая информация была доступна:
• Чаты между членами группы
• Как и где купить наборы для фишинга
• Информация для доступа к VPS серверу (где хранились наборы для фишинга)
• Обсуждения касательно будущих фишинговых кампаний
Картинка 5. Общение между членами группы
Раз у нас были логин/пароль, мы смогли получить доступ к VPS серверу(Картинка 6). На сервере мы увидели несколько активных фишинг кампаний, где каждый набор относился к разной стране.
Картинка 6. Все наборы фишинга, которые эта группа отправляла жертвам. Каждая папка содержит отдельный набор фишинга.
Помимо всего прочего там были фишинг кампании, имитирующие страницы крупных известных организаций (Картинка 7)
Картинка 7. Несколько зеркальных сайтов, которые мы нашли там
Поиск наборов для фишинга на продажу
После того как мы пошарились в этих группах, мы нашли дополнительную информацию о создателях этих фишинг пакетов. (Картинки 8, 9)
Некоторые ники:
◆ spoxcoder
◆ Officiel[.]UGEYO
◆ Spox DZ
◆ ARON- []TN
◆ ITNA1337 (предыдущий ник Cyb3r_3rr0r)
◆ Shadow
После того как мы поискали эти ники в телеге, даркнете и гугле, мы отследили группы этих создателей. Эти группы имели инструменты и информацию, которая вела к фишинговым атакам. Вот что они содержали:
• Электронные почты, используемые для рассылки вредоносных ссылок
• Телефоны потенциальных жертв
• Мануалы
• Фишинговые наборы для продажи
Картинка 8. Часть того, что мы нашли на канале ITNA1337
Картинка 9. Часть того, что мы нашли на канале “SpoxCoder NewChannel”
Создание нашей собственной фишинговой атаки
Во время исследования мы пришли к выводу, что создать фишинговую атаку довольно просто. Не обязательно быть технически подкованным, чтобы сделать это. Мы решили создать фишинговую кампанию, чтобы продемонстрировать это (Картинка 12).
Вот что нужно перед запуском кампании:
• Сервер/VPS: используется для хранения набора фишинга
• Короткая ссылка: используется для того, чтобы спрятать реальную ссылку от жертв
• Телефонные номера: мы нашли список потенциальных номеров в одной из групп в телеге
Для создания сервера/VPS мы использовали сервис Амазона EC2. Новые пользователи могут использовать сервис бесплатно один год (на момент написания статьи, 16 февраля 2023).
На сервере мы использовали Apache чтобы поставить веб сервер. После этого мы загрузили фишинговый набор с группы телеги на наш сервер.
Чтобы спрятать реальную ссылку и укоротить её, мы использовали bit.ly (Картинка 10)
После того как мы укоротили ссылку к серверу, где фишинговый набор хранился, кампания была готова (Картинка 11)
Весь процесс занимает в районе 10 минут.
Картинка 10. Короткая ссылка на сайт
Картинка 11. Короткая ссылка используемая в кампании
Картинка 12. Шаги фишинговой кампании
Картинка 13. Показывает нам всю информацию, которая отправляется в группу в телеге, которая была создана для этой цели
Заключение
Поговорим о цифрах. Информация ниже основана на группах телеги и логах с VPS сервера:
• Israel Credit Company: злоумышленники собрали кредитные карты с почти 1200 жертв.
• Global Bank: персональная информация 450 людей, включая кредитные карты, логины/пароли к сайту и SSN.
• Крупный стримминговый сервис: информация о 60 людях, включая кредитные карты, логины/пароли и куки.
После исследования нескольких фишинговых атаках мы пришли к следующим выводам:
Большинство аттак использовали наборы купленные на различных платформах, таких как телеграм, shopify и даркнет. Не требуется глубокое техническое знание чтобы создавать/управлять ими.
Благодаря проблеме с СМС протоколом, злоумышленник может подменять имя отправителя. Это заставляет жертв верить что СМС от реальной компании, а не от мошенников.
Как не стать жертвой
✓ В фишинговых кампаниях чаще всего от жертвы требуют ввести личную информацию, такую как данные кредитных карт, номер социального страхования, номер телефона, электронная почта и тд. Если сомневаетесь - свяжитесь напрямую с компанией, чтобы уточнить и проверить.
✓ Большинство злоумышленников не знакомы с языком жертв, на которых нацелены их кампании и они используют онлайн переводчики, которые не всегда корректно переводят. Обращайте внимание на информацию в тексте, странные формулировки, орфографические ошибки и некорректную грамматику.
✓ Злоумышленники часто используют электронные почты похожие на реальные. Важно внимательно смотреть на email, чтобы увидеть несоответствия.
Мы показали, что злоумышленники не были технарями, и как результат: сервер был подвержен нескольким уязвимостям в системе безопасности, что позволило нам обнаружить фишинговые кампании.
