Smishing Triadi ohunäitleja
Alates 1. jaanuarist 2024 on ulatuslik häkkimiskampaania seotud enam kui 194 000 pahatahtliku domeeniga, sihtides laia valikut teenuseid üle maailma. Kampaania kasutab petlikke SMS-sõnumeid, et meelitada kasutajaid tundlikku teavet avaldama, teeseldes sageli teemaksurikkumisi või valesti kohale toimetatud pakkidena.
Kuigi domeenid on registreeritud Hongkongis asuva registripidaja kaudu ja kasutavad Hiina nimeservereid, töötab rünnakuinfrastruktuur peamiselt USA-s hostitud pilveteenuste kaudu, mis peegeldab globaalselt hajutatud ülesehitust.
Sisukord
Smishing Triad: Hiinaga seotud ohutegelased
Kampaaniat omistatakse Hiinaga seotud rühmitusele Smishing Triad, mis on kurikuulus mobiilseadmete petturlike teadetega üleujutamise poolest. Viimase kolme aasta jooksul on need kampaaniad osutunud väga tulusaks, teenides ründajatele üle miljardi dollari.
Hiljutised leiud toovad esile märkimisväärse arengu nende taktikas. Õngitsuskomplektid sihivad üha enam maaklerkontosid, et varastada pangaandmeid ja autentimiskoode. Nende kontode rünnakud kasvasid 2025. aasta teises kvartalis võrreldes 2024. aasta sama perioodiga viiekordseks. Kui ründajad on sattunud ohtu, manipuleerivad nad aktsiahindadega, kasutades nn. „tõstmise ja tühjendamise“ skeeme, jättes minimaalselt dokumente maha.
Andmepüük teenusena: hästiõlitatud kuritegelik ökosüsteem
Smishing Triad on muutunud lihtsast andmepüügikomplektide pakkujast väga aktiivseks andmepüügi teenusena (PhaaS) kogukonnaks, mis koosneb mitmest spetsialiseerunud osalejast:
- Õngitsuskomplektide arendajad – loovad tööriistad.
- Andmemaaklerid – pakuvad sihttelefoni numbreid.
- Domeenimüüjad – registreerige ühekordselt kasutatavaid domeene andmepüügisaitide majutamiseks.
- Majutusteenuse pakkujad – haldavad servereid.
- Rämpspostitajad – levitavad petturlikke sõnumeid suures mahus.
- Elutähtsuse skannerid – kontrollige aktiivseid telefoninumbreid.
- Mustnimekirja skannerid – kontrollivad domeene mustnimekirjade alusel rotatsiooni eesmärgil.
See ökosüsteem võimaldab kiiret juurutamist ja pidevat kohanemist, mistõttu on avastamine ja häirimine keeruline.
Domeeni registreerimine ja lahkumisstrateegia
Analüüs näitab, et ligi 93 200 136 933 juurdomeenist (68,06%) on registreeritud Dominet (HK) Limited all. Enamik neist kasutab .com-eesliidet, kuigi viimastel kuudel on .gov-domeenide registreerimiste arv suurenenud.
Kampaania tugineb suuresti domeeninimede kiirele käibele:
- 29,19% domeenidest olid aktiivsed kaks päeva või vähem
- 71,3% olid aktiivsed alla nädala
- 82,6% olid aktiivsed kaks nädalat või vähem
- Vähem kui 6% elas üle kolme kuu
See klientide voolavus koos 194 345 täieliku ja piiratud domeeninimega (FQDN), mis moodustavad 43 494 unikaalset IP-aadressi (peamiselt USA-s Cloudflare'is), võimaldab ohutegelastel pidevalt avastamist vältida.
Taristualased teadmised ja globaalne ulatus
Kampaania taristuanalüüsi peamised tulemused on järgmised:
- USA postiteenistus on enim jäljendatud teenus, millel on 28 045 täielikku domeeninime (FQDN).
- Tasuliste teenuste peibutised domineerivad, umbes 90 000 andmepüügi FQDN-iga.
- Suurima liiklusega domeene majutatakse peamiselt USA-s, millele järgnevad Hiina ja Singapur.
Ohvreid sihitakse mitmes sektoris, sealhulgas pankades, krüptovaluutabörsidel, kättetoimetamisteenustel, politseijõududel, riigile kuuluvatel ettevõtetel, teemaksuteenustel, autode ühiskasutuse rakendustel, majutusteenustel, sotsiaalmeedias ja e-kaubandusplatvormidel sellistes riikides nagu Venemaa, Poola ja Leedu.
Valitsuse isikuandmete võltsimise kampaaniad suunavad kasutajad sageli maandumislehtedele, kus väidetakse tasumata teemaksude või teenustasude eest, kasutades mõnikord ClickFixi peibutisi, et meelitada kasutajaid pahatahtlikku koodi käivitama, mis on maskeeritud CAPTCHA-verifitseerimiseks.
Detsentraliseeritud oht globaalse mõjuga
Smishing Triad kampaania näitab globaalset ulatust ja detsentraliseeritust. Ründajad registreerivad ja kasutavad iga päev tuhandeid domeene, matkides mitmesuguseid teenuseid, et maksimeerida mõju. USA teemaksuteenuseid sihtivad Smishing-kampaaniad on vaid üks tahk ulatuslikust, väga kohanemisvõimelisest ja tulusast kuritegelikust ettevõtmisest, mis areneb jätkuvalt mastaapselt.
