Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Sukčiavimas Smishing Triad grėsmės aktorius

Smishing Triad grėsmės aktorius

Autorius Mezo, Sukčiavimas, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Nuo 2024 m. sausio 1 d. didelio masto kenkėjiškų domenų kampanija buvo susieta su daugiau nei 194 000 kenkėjiškų domenų, nukreipta prieš įvairias paslaugas visame pasaulyje. Kampanija naudoja klaidinančias SMS žinutes, kad apgautų vartotojus ir išgautų neskelbtiną informaciją, dažnai apsimesdama kelių rinkliavų pažeidimais arba neteisingai pristatytomis siuntomis.

Nors domenai registruojami per Honkonge įsikūrusį registratorių ir naudojami Kinijos vardų serveriai, atakų infrastruktūra daugiausia veikia iš JAV talpinamų debesijos paslaugų, o tai atspindi pasauliniu mastu paskirstytą struktūrą.

Smūgiuojanti triada: su Kinija susiję grėsmės veikėjai

Kampanija priskiriama su Kinija susijusiai grupuotei „Smishing Triad“, pagarsėjusiai dėl mobiliųjų įrenginių užtvindymo apgaulingais pranešimais. Per pastaruosius trejus metus šios kampanijos pasirodė esančios labai pelningos ir uždirbo daugiau nei 1 milijardą dolerių grėsmės vykdytojams.

Naujausi duomenys rodo reikšmingą jų taktikos evoliuciją. Sukčiavimo rinkiniai vis dažniau taikosi į tarpininkavimo sąskaitas, siekdami pavogti banko prisijungimo duomenis ir autentifikavimo kodus. Išpuolių prieš šias sąskaitas skaičius 2025 m. antrąjį ketvirtį išaugo penkis kartus, palyginti su tuo pačiu 2024 m. laikotarpiu. Patekę į sąskaitas, užpuolikai manipuliuoja akcijų kainomis, naudodami „pakėlimo ir išmetimo“ schemas, palikdami minimalius popierinius pėdsakus.

Sukčiavimas apsimetant (angl. phishing-as-a-service): gerai veikianti nusikalstama ekosistema

„Smishing Triad“ iš paprasto sukčiavimo rinkinių tiekėjo virto labai aktyvia sukčiavimo kaip paslaugos (angl. Phishing-as-a-Service, PhaaS) bendruomene, kurią sudaro daug specializuotų veikėjų:

  • Sukčiavimo apsimetant rinkiniais kūrėjai kuria įrankius.
  • Duomenų tarpininkai – teikia tikslinius telefono numerius.
  • Domenų pardavėjai – registruokite vienkartinius domenus sukčiavimo svetainių talpinimui.
  • Prieglobos paslaugų teikėjai – prižiūri serverius.
  • Šlamšto platintojai – platina apgaulingus pranešimus dideliu mastu.
  • Gyvumo skaitytuvai – patikrinkite aktyvius telefono numerius.
  • Blokinių sąrašų skaitytuvai – tikrina domenus pagal blokinius sąrašus, ar juos reikia rotuoti.

Ši ekosistema leidžia greitai diegti ir nuolat prisitaikyti, todėl sunku aptikti ir sutrikdyti veiklą.

Domenų registracija ir klientų praradimo strategija

Analizė rodo, kad beveik 93 200 iš 136 933 pagrindinių domenų (68,06 %) yra registruoti „Dominet (HK) Limited“. Dauguma jų naudoja .com prefiksą, nors pastaraisiais mėnesiais .gov domenų registracijų padaugėjo.

Kampanija labai priklauso nuo greitos domenų apyvartos:

  • 29,19 % domenų buvo aktyvūs dvi dienas ar trumpiau
  • 71,3 % buvo aktyvūs trumpiau nei savaitę
  • 82,6 % buvo aktyvūs dvi savaites ar trumpiau
  • Mažiau nei 6% išgyveno ilgiau nei tris mėnesius

Šis klientų praradimas kartu su 194 345 FQDN, išskiriančiais 43 494 unikalius IP adresus (daugiausia JAV, naudojant „Cloudflare“), leidžia grėsmių kūrėjams nuolat išvengti aptikimo.

Infrastruktūros įžvalgos ir pasaulinis pasiekiamumas

Svarbiausios kampanijos infrastruktūros analizės išvados:

  • JAV pašto tarnyba yra labiausiai apsimetinėjama tarnyba – 28 045 FQDN.
  • Dominuoja rinkliavų paslaugų viliokliai – maždaug 90 000 sukčiavimo būdu gautų FQDN.
  • Didžiausią srautą generuojantys domenai daugiausia yra talpinami JAV, po jų seka Kinija ir Singapūras.

Aukos taikosi į įvairius sektorius, įskaitant bankus, kriptovaliutų keityklas, pristatymo paslaugas, policijos pajėgas, valstybines įmones, kelių rinkliavų paslaugas, automobilių dalijimosi programėles, svetingumo paslaugas, socialinę žiniasklaidą ir elektroninės prekybos platformas tokiose šalyse kaip Rusija, Lenkija ir Lietuva.

Vyriausybės vykdomos apsimetinėjimo kampanijos dažnai nukreipia vartotojus į nukreipimo puslapius, kuriuose reikalaujama nesumokėtų rinkliavų ar paslaugų mokesčių, kartais pasitelkiant „ClickFix“ masalus, kad apgautų vartotojus vykdyti kenkėjišką kodą, užmaskuotą kaip CAPTCHA patvirtinimus.

Decentralizuota grėsmė, turinti pasaulinį poveikį

„Smishing Triad“ kampanija demonstruoja pasaulinį mastą ir decentralizaciją. Užpuolikai kasdien registruoja ir peržiūri tūkstančius domenų, imituodami įvairias paslaugas, kad padidintų poveikį. „Smishing“ kampanijos, nukreiptos į JAV rinkliavų paslaugas, yra tik vienas iš didelio, labai prisitaikančio ir pelningo nusikalstamo verslo, kuris toliau vystosi dideliu mastu, aspektų.

Tendencijos

„Pixnapping“ „Android“ klaida

Pažeidžiamumas
Kibernetinio saugumo tyrėjai nustatė kritinę „Google“ ir „Samsung“ „Android“ įrenginių pažeidžiamumą, pavadintą „Pixnapping“. Ši šalutinio kanalo ataka leidžia kenkėjiškai programai slapta pavogti jautrius duomenis, įskaitant dviejų veiksnių autentifikavimo (2FA) kodus ir „Google Maps“ laiko juostas, fiksuojant ekrano pikselius be vartotojo žinios. Ataka veikia pikselių po pikselio principu,...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,196
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...