پلت فرم جدید فیشینگ به عنوان یک سرویس با نام Greatness
پلتفرم جدید فیشینگ به عنوان یک سرویس (PhaaS یا PaaS) به نام Greatness توسط مجرمان سایبری برای هدف قرار دادن کاربران تجاری سرویس ابری مایکروسافت 365 از اواسط سال 2022 به کار گرفته شده است. PhaaS به طور موثر فشار ورودی حملات فیشینگ را کاهش می دهد.
بخشی از گسترش حملات مبتنی بر ایمیل را می توان به افزایش روند رو به رشد مفهوم کلی جرم به عنوان یک سرویس (CaaS) مرتبط کرد. این گروههای جرم و جنایت که از عوامل مخرب با مهارتهای تخصصی مختلف تشکیل شدهاند، شامل باجافزار بهعنوان سرویس (RaaS)، دسترسی بهعنوان سرویس (AaaS) و اخیراً PhaaS میشوند.
مانند RaaS یا AaaS، این تکنیک حمله تقریباً به هر کسی که حتی دانش سطح ابتدایی از چشم انداز امنیت سایبری را دارد، اجازه می دهد تا از حمله فیشینگ ، اغلب به صورت پولی و اغلب از طریق ورودی ایمیلی بهره مند شود. مجرمان سایبری بهعنوان یک «ارائهدهنده خدمات» از طرف دیگران در ازای پرداختی (اغلب حداقل ۱۵ دلار در روز) و یا بخشی از پرداخت باجافزار عمل میکنند. از طرف دیگر، کلاهبرداران نامتعارف میتوانند یک «کیت فیشینگ» را با مبلغی معادل 40 دلار آمریکا خریداری کنند .
یک محقق Cisco Talos گفت: “Greatness، در حال حاضر، تنها بر روی صفحات فیشینگ مایکروسافت 365 متمرکز شده است . همینطور این پلتفرم جدید فیشینگ به عنوان یک سرویس ، برای شرکت های تابعه خود، یک پیوست و سازنده پیوند که صفحات فریبکاری و ورود به سیستم بسیار قانع کننده ای را ایجاد می کنند ، ایجاد می کند.”
این محقق همچنین افزود که صفحات فریبکاری ایجاد شده شامل ویژگیهایی مانند پر کردن آدرس ایمیل قربانی و نمایش لوگوی شرکت و تصویر پسزمینه می باشد که از صفحه ورود واقعی مایکروسافت 365 سازمان هدف استخراج شده است.»
کمپینهای مربوط به Greatness عمدتاً دارای واحدهای تولیدی، مراقبتهای بهداشتی و فناوری هستند که در ایالات متحده، بریتانیا، استرالیا، آفریقای جنوبی و کانادا واقع شدهاند.
در واقع بااستفاده از کیت های فیشینگ مانند Greatness ، صفحات ورود قانعکننده مرتبط با خدمات آنلاین مختلف و دور زدن حفاظتهای احراز هویت دو مرحلهای (2FA) برای عوامل تهدید و حتی تازه کاران میسر می شود.
کیت فیشینگ Phishing kit مجموعهای از ابزارهای نرمافزاری مانند HTML، تصاویر و کدهایی است که کلاهبرداران میتوانند از آنها برای ساخت و راهاندازی حملات فیشینگ استفاده کنند. کیتهای فیشینگ به هر کسی که تجربه فیشینگ کمی دارد یا اصلاً تجربه ندارد، اجازه میدهد تا به سرعت صدها یا هزاران سایت فیشینگ بسازد و به مخاطبان گستردهتری حمله کند.
به طور خاص، صفحات فریب با ظاهری معتبر به عنوان یک پروکسی معکوس برای جمع آوری اعتبار و رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP) وارد شده توسط قربانیان عمل می کنند.
زنجیره حمله سایبری معمولا با ایمیلهای مخرب حاوی یک پیوست HTML شروع میشوند. که پس از باز کردن پیوست، کد جاوا اسکریپت مبهم سازی شده را اجرا میکند . این فرایند کاربر را به صفحه فرود با آدرس ایمیل گیرنده که از قبل پر شده هدایت میکند و رمز عبور و کد MFA را درخواست میکند.
اطلاعات کاربری و توکن های وارد شده متعاقباً برای دسترسی غیرمجاز به حساب های مورد نظر به کانال تلگرامی مرتبط ارسال می شود.
کیت فیشینگ AiTM همچنین دارای یک پنل مدیریتی است که به شرکت تابعه امکان میدهد ربات تلگرام را پیکربندی کند، اطلاعات دزدیده شده را ردیابی کند و حتی پیوستها یا لینکهایی را ایجاد کند.
علاوه بر این، انتظار میرود که هر شرکت تابعه یک کلید API معتبر داشته باشد تا بتواند صفحه فیشینگ را بارگیری کند. کلید API همچنین از مشاهده آدرسهای IP ناخواسته در صفحه فیشینگ جلوگیری میکند و ارتباط پشت صحنه با صفحه ورود واقعی مایکروسافت 365 را با ظاهر شدن به عنوان قربانی تسهیل میکند.
این محقق گفت: “کیت فیشینگ و API با همکاری یکدیگر یک حمله مردمیانی “man-in-the-middle” را انجام می دهند و اطلاعاتی را از قربانی درخواست می کنند .سپس در زمان واقعی به صفحه ورود اطلاعات ارسال می کند.
این به شرکت وابسته PaaS اجازه می دهد تا در صورت استفاده قربانی از MFA، نام های کاربری و رمز عبور را به همراه کوکی های جلسه تأیید شده بدزدد.
این یافتهها در حالی به دست میآیند که مایکروسافت از 8 می 2023 برای بهبود حفاظتهای 2FA و دفع حملات بمبگذاری سریع، تطبیق اعداد را در اعلانهای فشار Microsoft Authenticator آغاز کرده است.
اطلاعات زیر بر اساس گروههای تلگرام و فایلهای گزارش موجود در سرور VPS متعلق به مهاجمان سایبری است:
شرکت اعتباری اسرائیل: مهاجمان اطلاعات کارت اعتباری را از تقریبا 1200 قربانی به دست آوردند.
بانک جهانی: اطلاعات شخصی 450 نفر شامل اطلاعات اعتباری، مشخصات ورود به سایت بانک جهانی و شماره تامین اجتماعی پیدا شد.
سرویس پخش عمده: اطلاعات 60 نفر از جمله مشخصات کارت اعتباری، اطلاعات ورود به سایت و کوکی ها پیدا شد.
اکثر حملات از بسته های فیشینگ خریداری شده در پلتفرم های مختلف از جمله تلگرام، شاپیفای و دارک وب استفاده می کردند. هیچ دانش فنی برای کار با آنها مورد نیاز نیست.
با توجه به مشکل پروتکل SMS، مهاجم می تواند با هر نامی که انتخاب کند پیام ارسال کند. این باعث می شود قربانیان باور کنند که پیام مشروع است.