Расследование "Phishing as a Service"
Введение
Всем известно, что такое фишинг. Он существует уже более двух десятилетий. Теперь кажется, что фишинг стал более доступным, чем раньше. В этом блоге рассматривается, как злонамеренные лица могут получить выгоду от распространения моделей подписки на фишинг, или "Фишинг как услуга" (Phishing as a Service).
Поменяться ролями: превращение из жертвы в охотника
• Вступление в чаты, где злоумышленники состоят
• Обнаружение идентификационных деталей к серверу, где злоумышленники хранят свои файлы
Легкий фишинг: насколько легко использовать набор для фишинга, чтобы получить доступ к личной информации
Анализ и подведение итогов: общий обзор различных фишинг кампаний.
Получение фишинговой ссылки
Все началось с того, что мы получили SMS-сообщение с заголовком "Isracard" (это название израильской кредитной карточной компании). В SMS-сообщении содержалась следующая ссылка https://ow[.]ly/tthX30SiE8w (рисунок 1). Эта ссылка является сокращенной ссылкой, которая ссылается на адрес https://3fed85ce0a9501496.temporary[.]link/2/ar22/aramex-infos.php
Необходимо обновить информацию о платеже по соображениям безопасности
Нажав на ссылку, вы попадаете на следующую страницу оплаты (рисунок 2), которая с первого взгляда выглядит странно. Похоже, что злоумышленники создали зеркальную страницу, чтобы привлечь жертв вводить свои личные финансовые данные, такие как реквизиты кредитной карты, номер безопасности (CVV) и срок действия карты. Когда кнопка нажимается, данные отправляются на сервер злоумышленника. После этого жертва перенаправляется на сайт под названием www.aramex.com.
На картинке показано, как выглядит страница
Мы исследовали зеркальный сайт, чтобы посмотреть, не найдем ли мы что-то интересное. И о, чудо, у нас был доступ к нескольким каталогам, которые вы можете видеть на рисунке 3. Один из каталогов, названный "2", позволил нам просмотреть его содержимое (список файлов в каталоге). Просмотрев его внутри, мы увидели, что там был архивный файл с названием "ar22.zip", который содержал полный пакет фишингового набора.
Содержимое файла фишингового пакета после скачивания и извлечения zip-файла
Охота на злоумышленников
Почти сразу мы обратили внимание на файл с названием "config.php". Очевидно, эти файлы содержат токен Telegram-бота (рисунок 4). Используя этот токен Telegram, мы смогли получить информацию о каждом подписавшемся (рисунок 5) на бота человеке. Другими словами, у нас были данные о каждой группе и пользователе кампании по фишингу.
Мы видим пользователей и группы, зарегистрированных на этого бота.
Мы нашли два канала, которые были полностью открытыми или не имели никаких ограничений доступа. Это позволило нам легко просматривать содержимое без необходимости быть участником группы или получать приглашение. Следующая информация была доступна:
• Чаты между участниками группы
• Как и где покупать фишинговые наборы
• Информация для входа на VPS-сервер (где хранятся все фишинговые наборы компании)
• Чаты, касающиеся следующей кампании по фишингу
Поскольку у нас были учетные данные для входа, мы смогли подключиться к VPS-серверу (рисунок 6). На сервере мы увидели несколько активных кампаний по фишингу, каждый набор предназначен для разных стран.
Кроме того, были обнаружены дополнительные кампании по фишингу, имитирующие страницы известных предприятий (рисунок 7).
Вот несколько из этих зеркальных сайтов
Поиск фишинговых наборов для продажи
После того, как мы изучили эти группы, мы обнаружили дополнительные метаданные, касающиеся сообщений о фиксации изменений, комментариев и электронных адресов создателей фишинговых пакетов (рисунки 8, 9).
После поиска этих ников на Telegram, Darkweb и Google, мы отследили группы этих создателей. В этих группах были инструменты и информация, которые могли привести к фишинговым атакам. Вот список интересных наборов, включающий:
- Электронные почтовые аккаунты, используемые для отправки вредоносных ссылок
- Телефонные номера потенциальных жертв
- Руководства
- Фишинговые наборы, доступные для продажи
Создание собственной фишинговой атаки
В ходе исследования мы пришли к выводу, что создание фишинговой атаки достаточно просто, и для этого не обязательно быть технически грамотным человеком. Мы решили создать кампанию по фишингу для демонстрации (рисунок 12). Перед запуском фишинговой кампании требуется следующее:
• Сервер/VPS: используется для хранения набора фишинга
• Короткая ссылка: используется для того, чтобы спрятать реальную ссылку от жертв
• Телефонные номера: мы нашли список потенциальных номеров в одной из групп в телеге
Для создания сервера/VPS мы использовали сервис Amazon EC2. Новые пользователи могут воспользоваться этим сервисом бесплатно в течение одного года.
На сервере мы использовали службу Apache для включения веб-сервера. Затем мы загрузили фишинговый пакет с группы Telegram на наш сервер.
Для скрытия фактического адреса сервера и сокращения ссылки мы использовали bit.ly (рисунок 10).
Теперь, когда у нас была сокращенная ссылка на сервер, где хранился фишинговый набор, фишинговая кампания была готова (рисунок 11).
Весь этот процесс должен занять до 10 минут.
Резюме
Давайте поговорим о цифрах. Эта информация основана на группах Telegram и файлах журналов, найденных на VPS-сервере принадлежащем атакующим:
- Израильская кредитная компания: Злоумышленники получили информацию о кредитных картах почти у 1200 жертв.
- Глобальный банк: Была найдена личная информация 450 человек, включая информацию о кредите, данные для входа на сайт глобального банка и номера социального страхования.
- Крупный сервис видеостриминга: Была найдена информация о 60 человеках, включая данные кредитных карт, данные для входа на сайт и файлы cookie.
Проведя исследование нескольких фишинговых атак, мы пришли к следующим выводам:
- Большинство атак используют фишинговые наборы, приобретенные на различных платформах, включая Telegram, Shopify и Darkweb. Для их использования не требуется технических знаний.
- Из-за проблемы с протоколом SMS злоумышленник может отправить сообщение с любым выбранным именем. Это заставляет жертву верить, что сообщение является легитимным.