一种名为“Darcula”的新型网络钓鱼即服务 (PhaaS) 使用 20,000 个域名来欺骗品牌并窃取 100 多个国家/地区的 Android 和 iPhone 用户的凭据。
Darcula 已被用于针对各种服务和组织,从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业,为欺诈者提供了 200 多个模板可供选择。
该服务脱颖而出的一件事是,它使用 Google Messages 和 iMessage 的丰富通信服务 (RCS) 协议来接近目标,而不是使用 SMS 来发送网络钓鱼消息。
Darcula 于去年夏天由安全研究员 Oshri Kalfon 首次记录,但 Netcraft 分析师报告称,该平台在网络犯罪领域变得越来越流行,并且最近被用于几起引人注目的案件。
与传统的网络钓鱼方法不同,Darcula 采用 JavaScript、React、Docker 和 Harbor 等现代技术,能够持续更新和添加新功能,而无需客户重新安装网络钓鱼工具包。
该网络钓鱼工具包提供 200 个网络钓鱼模板,冒充 100 多个国家/地区的品牌和组织。着陆页质量很高,并使用正确的本地语言、徽标和内容。
Darcula 套件中提供的登陆页面
欺诈者选择一个品牌来冒充并运行安装脚本,将相应的网络钓鱼站点及其管理仪表板直接安装到 Docker 环境中。
该系统使用开源容器注册表Harbor来托管Docker镜像,而钓鱼网站则使用React开发。
研究人员表示,Darcula 服务通常使用“.top”和“.com”顶级域名来托管用于网络钓鱼攻击的专用注册域名,而其中大约三分之一由 Cloudflare 支持。
Netcraft 已在 11,000 个 IP 地址上映射了 20,000 个 Darcula 域,并且每天都会添加 120 个新域。
Darcula 与传统的基于SMS策略不同,而是利用 RCS (Android) 和 iMessage (iOS) 向受害者发送带有网络钓鱼 URL 链接的消息。
这样做的好处是,接收者更有可能认为通信是合法的,并信任SMS中不提供的额外保护措施。
而且,由于RCS和iMessage支持端到端加密,因此无法根据内容拦截和阻止网络钓鱼消息。
Netcraft 评论说,最近旨在通过阻止可疑消息来遏制基于SMS的网络犯罪的全球立法努力可能会推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议。
然而,这些协议有其自身的一系列限制,网络犯罪分子必须克服这些限制。
例如,Apple 禁止帐户向多个收件人发送大量消息,而 Google 最近实施了一项限制,阻止已 root 的 Android 设备发送或接收 RCS 消息。
从 Darcula 发送的 RCS 消息
网络犯罪分子试图通过创建多个 Apple ID 并使用设备场从每台设备发送少量消息来克服这些限制。
更具挑战性的障碍是 iMessage 中的安全措施,仅允许收件人在回复消息后单击 URL 链接。
通过 iMessage (Netcraft) 发送的网络钓鱼消息
为了绕过这一措施,网络钓鱼邮件会指示收件人回复“Y”或“1”,然后重新打开邮件以点击链接。此过程可能会产生摩擦,从而降低网络钓鱼攻击的有效性。
用户应该以怀疑的态度对待所有敦促他们点击 URL 的传入消息,尤其是在无法识别发件人的情况下。无论平台或应用程序如何,网络钓鱼威胁参与者都会不断尝试新的交付方法。
Netcraft 研究人员还建议注意不准确的语法、拼写错误、过于有吸引力的优惠或紧急行动的呼吁。
原创文章,作者:小技术君,如若转载,请注明出处:https://www.sudun.com/ask/34073.html
