Smishing Triad fenyegetés színész

Egy nagyszabású, több mint 194 000 rosszindulatú domainhez köthető smishing kampány világszerte számos szolgáltatást céloz meg. A kampány megtévesztő SMS-üzeneteket használ, hogy a felhasználókat bizalmas információk kiadására bírja, gyakran útdíj-szabálysértésnek vagy rosszul kézbesített csomagoknak álcázva magát.

Annak ellenére, hogy a domaineket egy hongkongi székhelyű regisztrátoron keresztül regisztrálták és kínai névszervereket használtak, a támadási infrastruktúra elsősorban az Egyesült Államokban üzemeltetett felhőszolgáltatásokból működik, ami egy globálisan elosztott felépítést tükröz.

A Smishing Triad: Kínához köthető fenyegető szereplők

A kampányt egy Kínához köthető Smishing Triad nevű csoportnak tulajdonítják, amely arról hírhedt, hogy csalárd értesítésekkel árasztja el mobileszközeit. Az elmúlt három évben ezek a kampányok rendkívül jövedelmezőnek bizonyultak, több mint 1 milliárd dollárt termelve a kiberfenyegetőknek.

A legújabb eredmények rávilágítanak a taktikáik jelentős fejlődésére. Az adathalász készletek egyre inkább brókerszámlákat céloznak meg banki adatok és hitelesítési kódok ellopása céljából. Az ilyen számlák elleni támadások száma ötszörösére nőtt 2025 második negyedévében 2024 azonos időszakához képest. A feltörés után a támadók „feltörési és visszaszerzési” módszerekkel manipulálják a részvényárfolyamokat, minimális papírnyomot hagyva maguk után.

Adathalászat szolgáltatásként: Egy jól olajozott bűnözői ökoszisztéma

A Smishing Triad egy egyszerű adathalász készlet szolgáltatóból egy rendkívül aktív adathalászati szolgáltatásként (PhaaS) közösséggé alakult át, amely több specializált szereplőből áll:

• Adathalász készletek fejlesztői – készítsék el az eszközöket.
• Adatbrókerek – célzott telefonszámokat biztosítanak.
• Domain eladók – regisztráljon eldobható domaineket adathalász webhelyek üzemeltetéséhez.
• Tárhelyszolgáltatók – szerverek karbantartását végzik.
• Spammerek – nagy mennyiségben terjesztenek csalárd üzeneteket.
• Élőképesség-szkennerek – aktív telefonszámok ellenőrzése.
• Tiltólista-szkennerek – domainek ellenőrzése a tiltólisták alapján rotáció céljából.

Ez az ökoszisztéma gyors telepítést és folyamatos alkalmazkodást tesz lehetővé, ami megnehezíti a felderítést és a zavarok kiküszöbölését.

Domain regisztráció és lemorzsolódási stratégia

Az elemzésből kiderül, hogy a 136 933 gyökérdomainből közel 93 200 (68,06%) a Dominet (HK) Limited alatt van regisztrálva. Ezek többsége a .com előtagot használja, bár az elmúlt hónapokban növekedés tapasztalható a .gov domainregisztrációk számában.

A kampány nagymértékben támaszkodik a gyors domainforgalomra:

• A domainek 29,19%-a két napig vagy kevesebb ideig volt aktív
• 71,3%-uk kevesebb mint egy hétig volt aktív
• 82,6%-uk két hétig vagy kevesebb ideig volt aktív
• Kevesebb, mint 6% élte túl a három hónapot

Ez a lemorzsolódás, kombinálva a 194 345 FQDN-nel, amelyek 43 494 egyedi IP-címre vannak felbontva (többnyire az Egyesült Államokban a Cloudflare-en), lehetővé teszi a fenyegetések szereplői számára, hogy folyamatosan elkerüljék az észlelést.

Infrastruktúra-betekintés és globális elérhetőség

A kampány infrastrukturális elemzésének főbb megállapításai a következők:

• Az Egyesült Államok Postai Szolgálata a leginkább személyazonosságot kihasználó szolgáltatás, 28 045 FQDN-nel.
• A díjfizetési szolgáltatások dominálnak, nagyjából 90 000 adathalász FQDN-nel.
• A legnagyobb forgalmat generáló domainek elsősorban az Egyesült Államokban találhatók, ezt követi Kína és Szingapúr.

Az áldozatok több szektorban is célba veszik őket, beleértve a bankokat, kriptotőzsdéket, kézbesítési szolgáltatásokat, rendőrséget, állami tulajdonú vállalatokat, útdíjbeszedő szolgáltatásokat, telekocsi alkalmazásokat, vendéglátóipari szolgáltatásokat, közösségi médiát és e-kereskedelmi platformokat olyan országokban, mint Oroszország, Lengyelország és Litvánia.

A kormányzati személyazonosság-ellenőrzési kampányok gyakran olyan céloldalakra irányítják át a felhasználókat, amelyek kifizetetlen útdíjakat vagy szolgáltatási díjakat követelnek, néha a ClickFix csalikat kihasználva, hogy a felhasználókat CAPTCHA-ellenőrzésnek álcázott rosszindulatú kód futtatására kényszerítsék.

Decentralizált fenyegetés globális hatással

A Smishing Triad kampány globális hatókört és decentralizációt mutat. A támadók naponta több ezer domaint regisztrálnak és keresnek fel, különféle szolgáltatásokat utánozva a hatás maximalizálása érdekében. Az amerikai útdíj-szolgáltatást célzó smishing kampányok csak egy részét képviselik egy hatalmas, rendkívül alkalmazkodóképes és jövedelmező bűnözői vállalkozásnak, amely folyamatosan fejlődik.