Monen lisenssin alennustarjous
Uhatietokanta Tietojenkalastelu Smishing Triad -uhka-näyttelijä

Smishing Triad -uhka-näyttelijä

Vuonna Mezo vuonna Tietojenkalastelu, Advanced Persistent Threat (APT)
Käännä:

Laajamittainen huijauskampanja on yhdistetty yli 194 000 haitalliseen verkkotunnukseen 1. tammikuuta 2024 lähtien ja kohdistunut laajaan valikoimaan palveluita maailmanlaajuisesti. Kampanja hyödyntää harhaanjohtavia tekstiviestejä huijatakseen käyttäjiä paljastamaan arkaluonteisia tietoja, usein tekeytyen tietullimaksujen rikkomuksiksi tai väärin toimitetuiksi paketeiksi.

Vaikka verkkotunnukset on rekisteröity Hongkongissa sijaitsevan rekisterinpitäjän kautta ja ne käyttävät kiinalaisia nimipalvelimia, hyökkäysinfrastruktuuri toimii pääasiassa Yhdysvalloissa isännöityjen pilvipalveluiden kautta, mikä heijastaa maailmanlaajuisesti hajautettua rakennetta.

Smishing Triad: Kiinaan kytköksissä olevat uhkatoimijat

Kampanjan syyksi on liitetty Kiinaan kytköksissä oleva Smishing Triad -niminen ryhmä, joka on tunnettu mobiililaitteiden tulvimisesta huijausviesteillä. Viimeisten kolmen vuoden aikana nämä kampanjat ovat osoittautuneet erittäin kannattaviksi ja tuottaneet uhkatoimijoille yli miljardi dollaria.

Viimeaikaiset havainnot korostavat merkittävää kehitystä heidän taktiikoissaan. Tietojenkalastelupaketit kohdistavat yhä useammin välittäjätileihin pankkitunnuksia ja todennuskoodeja varastaakseen. Näihin tileihin kohdistuneet hyökkäykset viisinkertaistuivat vuoden 2025 toisella neljänneksellä verrattuna samaan ajanjaksoon vuonna 2024. Kun hyökkääjät ovat päässeet käsiksi tileihin, he manipuloivat osakekursseja käyttämällä "ramp and dump" -menetelmiä, jolloin paperijäljet ovat mahdollisimman vähäiset.

Tietojenkalastelu palveluna: Hyvin öljytty rikollinen ekosysteemi

Smishing Triad on muuttunut yksinkertaisesta tietojenkalastelupakettien tarjoajasta erittäin aktiiviseksi tietojenkalastelupalveluksi (PhaaS), joka koostuu useista erikoistuneista toimijoista:

  • Tietojenkalastelupakettien kehittäjät – luovat työkalut.
  • Tiedonvälittäjät – toimittavat kohdepuhelinnumeroita.
  • Verkkotunnusten myyjät – rekisteröi kertakäyttöisiä verkkotunnuksia tietojenkalastelusivustojen ylläpitoa varten.
  • Hosting-palveluntarjoajat – ylläpitävät palvelimia.
  • Roskapostittajat – levittävät vilpillisiä viestejä laajamittaisesti.
  • Elävyysskannerit – tarkista aktiiviset puhelinnumerot.
  • Estolistaskannerit – tarkistavat verkkotunnuksia estolistaa vasten ja kiertävätkö ne.

Tämä ekosysteemi mahdollistaa nopean käyttöönoton ja jatkuvan sopeutumisen, mikä tekee havaitsemisesta ja häirinnästä haastavaa.

Verkkotunnusten rekisteröinti ja vaihtuvuusstrategia

Analyysi paljastaa, että lähes 93 200 136 933 juuriverkkotunnuksesta (68,06 %) on rekisteröity Dominet (HK) Limited -yrityksen alle. Suurin osa näistä käyttää .com-etuliitettä, vaikka .gov-verkkotunnusten rekisteröintien määrä on kasvanut viime kuukausina.

Kampanja nojaa vahvasti verkkotunnusten nopeaan vaihtuvuuteen:

  • 29,19 % verkkotunnuksista oli aktiivisia kaksi päivää tai vähemmän
  • 71,3 % oli aktiivisia alle viikon
  • 82,6 % oli aktiivisia kaksi viikkoa tai vähemmän
  • Alle 6 % selvisi yli kolmen kuukauden hengissä

Tämä asiakasvaihtuvuus yhdistettynä 194 345 täydelliseen verkkotunnukseen (FQDN), jotka muodostavat 43 494 yksilöllistä IP-osoitetta (pääasiassa Yhdysvalloissa Cloudflaressa), mahdollistaa uhkatoimijoille jatkuvan havaitsemisen välttämisen.

Infrastruktuurinäkemykset ja globaali ulottuvuus

Kampanjan infrastruktuurianalyysin keskeisiä havaintoja ovat:

  • Yhdysvaltain postipalvelu on eniten henkilöllisyyden jäljittelyä käyttävä palvelu, jolla on 28 045 täydellistä verkkotunnusta (FQDN).
  • Maksullisten palveluiden houkuttimet hallitsevat, ja niillä on noin 90 000 tietojenkalastelu-FQDN:ää.
  • Eniten liikennettä tuottavat verkkotunnukset sijaitsevat pääasiassa Yhdysvalloissa, jota seuraavat Kiina ja Singapore.

Uhreja kohdellaan useilla eri aloilla, mukaan lukien pankit, kryptovaluuttapörssit, toimituspalvelut, poliisivoimat, valtion omistamat yritykset, tietullipalvelut, kimppakyytisovellukset, majoituspalvelut, sosiaalinen media ja verkkokauppa-alustat esimerkiksi Venäjällä, Puolassa ja Liettuassa.

Viranomaisten henkilöllisyyden anastuskampanjat ohjaavat käyttäjät usein aloitussivuille, joilla väitetään maksamattomia tietulleja tai palvelumaksuja, ja joskus käytetään ClickFix-houkutteita huijatakseen käyttäjiä suorittamaan CAPTCHA-vahvistuksiksi naamioitua haitallista koodia.

Hajautettu uhka, jolla on maailmanlaajuinen vaikutus

Smishing Triad -kampanja osoittaa globaalia ulottuvuutta ja hajautusta. Hyökkääjät rekisteröivät ja selaavat päivittäin tuhansia verkkotunnuksia matkien erilaisia palveluita maksimoidakseen vaikutuksen. Yhdysvaltain tietullipalveluihin kohdistuvat Smishing-kampanjat ovat vain yksi osa laajaa, erittäin mukautuvaa ja kannattavaa rikollista toimintaa, joka kehittyy jatkuvasti skaalautuvasti.

Trendaavat

Eniten katsottu

Ladataan...