عامل تهدید سه‌گانه اسمیشینگ

یک کمپین بزرگ اسمیسینگ از اول ژانویه ۲۰۲۴ به بیش از ۱۹۴۰۰۰ دامنه مخرب مرتبط شده است که طیف وسیعی از سرویس‌ها را در سراسر جهان هدف قرار می‌دهد. این کمپین از پیام‌های کوتاه فریبنده برای فریب کاربران جهت افشای اطلاعات حساس استفاده می‌کند و اغلب خود را به عنوان نقض عوارض یا بسته‌های تحویل داده نشده جا می‌زند.

با وجود اینکه دامنه‌ها از طریق یک ثبت‌کننده مستقر در هنگ کنگ ثبت شده‌اند و از سرورهای نام چینی استفاده می‌کنند، زیرساخت حمله عمدتاً از سرویس‌های ابری میزبانی‌شده در ایالات متحده فعالیت می‌کند که نشان‌دهنده یک ساختار توزیع‌شده جهانی است.

سه‌گانه‌ی اسمیشینگ: بازیگران تهدید مرتبط با چین

این کمپین به یک گروه مرتبط با چین به نام Smishing Triad نسبت داده می‌شود که به خاطر ارسال انبوهی از اعلان‌های جعلی به دستگاه‌های تلفن همراه بدنام است. در طول سه سال گذشته، این کمپین‌ها بسیار سودآور بوده‌اند و بیش از ۱ میلیارد دلار برای عوامل تهدید درآمد داشته‌اند.

یافته‌های اخیر، تکامل قابل توجهی را در تاکتیک‌های آنها نشان می‌دهد. کیت‌های فیشینگ به طور فزاینده‌ای حساب‌های کارگزاری را برای سرقت اطلاعات بانکی و کدهای احراز هویت هدف قرار می‌دهند. حملات به این حساب‌ها در سه‌ماهه دوم سال ۲۰۲۵ در مقایسه با مدت مشابه در سال ۲۰۲۴، پنج برابر افزایش یافته است. مهاجمان پس از نفوذ، با استفاده از طرح‌های «افزایش و کاهش» قیمت سهام را دستکاری می‌کنند و حداقل ردپای کاغذی را از خود به جا می‌گذارند.

فیشینگ به عنوان سرویس: یک اکوسیستم جناییِ کاملاً مجهز

Smishing Triad از یک ارائه‌دهنده‌ی کیت فیشینگ ساده به یک جامعه‌ی بسیار فعال فیشینگ به عنوان سرویس (PhaaS) تبدیل شده است که شامل چندین عامل متخصص است:

• توسعه‌دهندگان کیت فیشینگ - ابزارها را ایجاد می‌کنند.
• دلالان داده - شماره تلفن‌های هدف را ارائه می‌دهند.
• فروشندگان دامنه - دامنه‌های یکبار مصرف را برای میزبانی سایت‌های فیشینگ ثبت می‌کنند.
• ارائه دهندگان خدمات میزبانی وب - نگهداری سرورها.
• اسپمرها - پیام‌های جعلی را در مقیاس وسیع توزیع می‌کنند.
• اسکنرهای زنده بودن - شماره تلفن‌های فعال را تأیید کنید.
• اسکنرهای لیست سیاه - دامنه‌ها را برای چرخش در برابر لیست‌های سیاه بررسی می‌کنند.

این اکوسیستم امکان استقرار سریع و سازگاری مداوم را فراهم می‌کند و تشخیص و اختلال را چالش‌برانگیز می‌کند.

استراتژی ثبت دامنه و حذف دامنه

تجزیه و تحلیل نشان می‌دهد که نزدیک به ۹۳۲۰۰ دامنه از ۱۳۶,۹۳۳ دامنه ریشه (۶۸.۰۶٪) تحت شرکت Dominet (HK) Limited ثبت شده‌اند. اکثر این دامنه‌ها از پیشوند .com استفاده می‌کنند، اگرچه در ماه‌های اخیر افزایشی در ثبت دامنه .gov مشاهده شده است.

این کمپین به شدت به گردش سریع دامنه متکی است:

• ۲۹.۱۹٪ از دامنه‌ها به مدت دو روز یا کمتر فعال بودند.
• ۷۱.۳٪ کمتر از یک هفته فعال بودند
• ۸۲.۶٪ به مدت دو هفته یا کمتر فعال بودند
• کمتر از ۶٪ بیش از سه ماه زنده ماندند

این تغییر ناگهانی، همراه با ۱۹۴۳۴۵ FQDN که به ۴۳۴۹۴ IP منحصر به فرد (عمدتاً در ایالات متحده و در Cloudflare) تبدیل می‌شوند، به عوامل تهدید اجازه می‌دهد تا به طور مداوم از شناسایی شدن فرار کنند.

بینش‌های زیرساختی و دسترسی جهانی

یافته‌های کلیدی حاصل از تحلیل زیرساخت‌های کمپین عبارتند از:

• سرویس پستی ایالات متحده با ۲۸۰۴۵ FQDN بیشترین تعداد جعل هویت را دارد.
• فریب‌های سرویس‌های عوارضی با تقریباً ۹۰،۰۰۰ FQDN فیشینگ، غالب هستند.
• دامنه‌هایی که بیشترین ترافیک را ایجاد می‌کنند، عمدتاً در ایالات متحده میزبانی می‌شوند و پس از آن چین و سنگاپور قرار دارند.

قربانیان در بخش‌های مختلفی از جمله بانک‌ها، صرافی‌های ارز دیجیتال، خدمات تحویل، نیروهای پلیس، شرکت‌های دولتی، خدمات عوارض، اپلیکیشن‌های اشتراک خودرو، خدمات مهمان‌نوازی، رسانه‌های اجتماعی و پلتفرم‌های تجارت الکترونیک در کشورهایی مانند روسیه، لهستان و لیتوانی هدف قرار گرفته‌اند.

کمپین‌های جعل هویت دولتی اغلب کاربران را به صفحات فرودی هدایت می‌کنند که عوارض یا هزینه‌های خدمات پرداخت نشده را ادعا می‌کنند و گاهی اوقات از فریب‌های ClickFix برای فریب کاربران جهت اجرای کد مخرب که در قالب تأییدیه‌های CAPTCHA پنهان شده است، استفاده می‌کنند.

تهدید غیرمتمرکز با تأثیر جهانی

کمپین اسمیشینگ تریاد (Smishing Triad) نشان‌دهنده‌ی دسترسی جهانی و تمرکززدایی است. مهاجمان روزانه هزاران دامنه را ثبت و در آن‌ها گردش می‌کنند و از سرویس‌های متنوع تقلید می‌کنند تا تأثیر خود را به حداکثر برسانند. کمپین‌های اسمیشینگ که سرویس‌های عوارض ایالات متحده را هدف قرار می‌دهند، تنها یکی از جنبه‌های یک سازمان جنایی گسترده، بسیار سازگار و سودآور را نشان می‌دهند که همچنان در مقیاس وسیع در حال تکامل است.