پلت فرم جدید فیشینگ به عنوان یک سرویس با نام Greatness

پلتفرم جدید فیشینگ به عنوان یک سرویس (PhaaS یا PaaS) به نام Greatness توسط مجرمان سایبری برای هدف قرار دادن کاربران تجاری سرویس ابری مایکروسافت 365 از اواسط سال 2022 به کار گرفته شده است. PhaaS به طور موثر فشار ورودی حملات فیشینگ را کاهش می دهد.

بخشی از گسترش حملات مبتنی بر ایمیل را می توان به افزایش روند رو به رشد مفهوم کلی جرم به عنوان یک سرویس (CaaS) مرتبط کرد. این گروه‌های جرم و جنایت که از عوامل مخرب با مهارت‌های تخصصی مختلف تشکیل شده‌اند، شامل باج‌افزار به‌عنوان سرویس (RaaS)، دسترسی به‌عنوان سرویس (AaaS) و اخیراً PhaaS می‌شوند.

مانند RaaS یا AaaS، این تکنیک حمله تقریباً به هر کسی که حتی دانش سطح ابتدایی از چشم انداز امنیت سایبری را دارد، اجازه می دهد تا از حمله فیشینگ ، اغلب به صورت پولی و اغلب از طریق ورودی ایمیلی  بهره مند شود. مجرمان سایبری به‌عنوان یک «ارائه‌دهنده خدمات» از طرف دیگران در ازای پرداختی (اغلب حداقل ۱۵ دلار در روز) و یا بخشی از پرداخت باج‌افزار عمل می‌کنند. از طرف دیگر، کلاهبرداران نامتعارف می‌توانند یک «کیت فیشینگ» را با مبلغی معادل 40 دلار آمریکا خریداری کنند .

• معرفی فورتی فیش FortiPhish
• باج افزار به عنوان یک سرویس (RaaS) چیست؟

یک محقق Cisco Talos گفت: “Greatness، در حال حاضر، تنها بر روی صفحات فیشینگ مایکروسافت 365 متمرکز شده است . همینطور این پلتفرم جدید فیشینگ به عنوان یک سرویس ، برای شرکت های تابعه خود، یک پیوست و سازنده پیوند که صفحات فریبکاری و ورود به سیستم بسیار قانع کننده ای را ایجاد می کنند ، ایجاد می کند.”

این محقق همچنین افزود که صفحات فریبکاری ایجاد شده شامل ویژگی‌هایی مانند پر کردن آدرس ایمیل قربانی و نمایش لوگوی شرکت و تصویر پس‌زمینه می باشد که از صفحه ورود واقعی مایکروسافت 365 سازمان هدف استخراج شده است.»

کمپین‌های مربوط به Greatness عمدتاً دارای واحدهای تولیدی، مراقبت‌های بهداشتی و فناوری هستند که در ایالات متحده، بریتانیا، استرالیا، آفریقای جنوبی و کانادا واقع شده‌اند.

در واقع بااستفاده از کیت های فیشینگ مانند Greatness ، صفحات ورود قانع‌کننده مرتبط با خدمات آنلاین مختلف و دور زدن حفاظت‌های احراز هویت دو مرحله‌ای (2FA) برای عوامل تهدید و حتی تازه کاران میسر می شود.

کیت فیشینگ Phishing kit مجموعه‌ای از ابزارهای نرم‌افزاری مانند HTML، تصاویر و کدهایی است که کلاهبرداران می‌توانند از آنها برای ساخت و راه‌اندازی حملات فیشینگ استفاده کنند. کیت‌های فیشینگ به هر کسی که تجربه فیشینگ کمی دارد یا اصلاً تجربه ندارد، اجازه می‌دهد تا به سرعت صدها یا هزاران سایت فیشینگ بسازد و به مخاطبان گسترده‌تری حمله کند.

به طور خاص، صفحات فریب با ظاهری معتبر به عنوان یک پروکسی معکوس برای جمع آوری اعتبار و رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP) وارد شده توسط قربانیان عمل می کنند.

زنجیره‌ حمله سایبری معمولا با ایمیل‌های مخرب حاوی یک پیوست HTML شروع می‌شوند. که پس از باز کردن پیوست، کد جاوا اسکریپت مبهم سازی شده را اجرا می‌کند . این فرایند کاربر را به صفحه فرود با آدرس ایمیل گیرنده که از قبل پر شده هدایت می‌کند و رمز عبور و کد MFA را درخواست می‌کند.

• فناوری فریب چیست؟
  

  ---

اطلاعات کاربری و توکن های وارد شده متعاقباً برای دسترسی غیرمجاز به حساب های مورد نظر به کانال تلگرامی مرتبط ارسال می شود.

کیت فیشینگ AiTM همچنین دارای یک پنل مدیریتی است که به شرکت تابعه امکان می‌دهد ربات تلگرام را پیکربندی کند، اطلاعات دزدیده شده را ردیابی کند و حتی پیوست‌ها یا لینک‌هایی را ایجاد کند.

علاوه بر این، انتظار می‌رود که هر شرکت تابعه یک کلید API معتبر داشته باشد تا بتواند صفحه فیشینگ را بارگیری کند. کلید API همچنین از مشاهده آدرس‌های IP ناخواسته در صفحه فیشینگ جلوگیری می‌کند و ارتباط پشت صحنه با صفحه ورود واقعی مایکروسافت 365 را با ظاهر شدن به عنوان قربانی تسهیل می‌کند.

این محقق گفت: “کیت فیشینگ و API با همکاری یکدیگر یک حمله مردمیانی “man-in-the-middle” را انجام می دهند و اطلاعاتی را از قربانی درخواست می کنند .سپس در زمان واقعی به صفحه ورود اطلاعات ارسال می کند.