Herec hrozby Smishing Triad
Rozsáhlá smishingová kampaň byla od 1. ledna 2024 propojena s více než 194 000 škodlivými doménami a zaměřila se na širokou škálu služeb po celém světě. Kampaň využívá klamavé SMS zprávy, které uživatele lstí přimějí k prozrazení citlivých informací, často vydávaných za porušení pravidel pro dálkové poplatky nebo chybně doručené balíky.
Přestože jsou domény registrovány prostřednictvím hongkongského registrátora a používají čínské nameservery, útočná infrastruktura funguje primárně z cloudových služeb hostovaných v USA, což odráží globálně distribuované nastavení.
Obsah
Úsměvná triáda: Hrozební aktéři propojení s Čínou
Kampaň je připisována skupině napojené na Čínu, známé jako Smishing Triad, která je proslulá zaplavováním mobilních zařízení podvodnými oznámeními. Během posledních tří let se tyto kampaně ukázaly jako vysoce ziskové a vygenerovaly útočníkům více než 1 miliardu dolarů.
Nedávná zjištění poukazují na významný vývoj v jejich taktice. Phishingové kity se stále častěji zaměřují na makléřské účty, aby ukradly bankovní přihlašovací údaje a ověřovací kódy. Útoky na tyto účty se ve 2. čtvrtletí roku 2025 pětinásobně zvýšily ve srovnání se stejným obdobím roku 2024. Jakmile jsou útočníci napadeni, manipulují s cenami akcií pomocí schémat „ramp and dump“ a zanechávají minimální papírové stopy.
Phishing jako služba: Dobře promazaný ekosystém zločinců
Smishing Triad se transformovala z jednoduchého poskytovatele phishingových sad ve vysoce aktivní komunitu Phishing-as-a-Service (PhaaS), která zahrnuje několik specializovaných aktérů:
- Vývojáři phishingových sad – vytvořte nástroje.
- Datoví makléři – poskytují cílová telefonní čísla.
- Prodejci domén – registrujte jednorázové domény pro hostování phishingových stránek.
- Poskytovatelé hostingu – údržba serverů.
- Spammeři – šíří podvodné zprávy ve velkém měřítku.
- Skenery živosti – ověřují aktivní telefonní čísla.
- Skenery blokovaných seznamů – kontrolují domény oproti blokovaným seznamům a umožňují rotaci.
Tento ekosystém umožňuje rychlé nasazení a neustálou adaptaci, což ztěžuje detekci a narušení.
Registrace domén a strategie odchodu uživatelů
Analýza ukazuje, že téměř 93 200 ze 136 933 kořenových domén (68,06 %) je registrováno pod společností Dominet (HK) Limited. Většina z nich používá předponu .com, ačkoli v posledních měsících došlo k nárůstu registrací domén .gov.
Kampaň se silně spoléhá na rychlou obměnu domén:
- 29,19 % domén bylo aktivních dva dny nebo méně
- 71,3 % bylo aktivních méně než týden
- 82,6 % bylo aktivních dva týdny nebo méně
- Méně než 6 % přežilo déle než tři měsíce
Tato změna, v kombinaci se 194 345 FQDN, které se rozdělují na 43 494 unikátních IP adres (většinou v USA na Cloudflare), umožňuje útočníkům neustále se vyhýbat detekci.
Přehledy infrastruktury a globální dosah
Mezi klíčová zjištění z analýzy infrastruktury kampaně patří:
- Americká poštovní služba (US Postal Service) je nejvíce zosobněnou službou s 28 045 plně kvalifikovanými doménovými jmény (FQDN).
- Dominují lákadla na mýtné služby s přibližně 90 000 phishingovými FQDN.
- Domény generující nejvyšší návštěvnost jsou hostovány především v USA, následované Čínou a Singapurem.
Oběti jsou terčem útoků napříč různými sektory, včetně bank, kryptoměnových burz, doručovacích služeb, policejních sborů, státních podniků, mýtných služeb, aplikací pro spolujízdu, pohostinských služeb, sociálních médií a platforem elektronického obchodování v zemích, jako je Rusko, Polsko a Litva.
Kampaně na vydávání se za vládu často přesměrovávají uživatele na vstupní stránky s údajným nezaplacením mýtného nebo poplatků za služby, někdy využívají lákadla ClickFix, aby uživatele oklamaly a přiměly ke spuštění škodlivého kódu maskovaného jako ověření CAPTCHA.
Decentralizovaná hrozba s globálním dopadem
Kampaň Smishing Triad demonstruje globální dosah a decentralizaci. Útočníci denně registrují a procházejí tisíce domén a napodobují rozmanité služby, aby maximalizovali dopad. Smishingové kampaně zaměřené na americké mýtné služby představují jen jednu stránku rozsáhlého, vysoce adaptivního a ziskového zločineckého podniku, který se neustále vyvíjí ve velkém měřítku.
