Rabatttilbud for flere lisenser
Trusseldatabase Phishing Smishing Triad Threat Actor

Smishing Triad Threat Actor

Med Mezo i Phishing, Advanced Persistent Threat (APT)
Oversett til:

En storstilt smishing-kampanje har blitt knyttet til over 194 000 ondsinnede domener siden 1. januar 2024, og er rettet mot et bredt spekter av tjenester over hele verden. Kampanjen utnytter villedende SMS-meldinger for å lure brukere til å avsløre sensitiv informasjon, ofte utgitt som brudd på bompenger eller feilleverte pakker.

Til tross for at domenene er registrert gjennom en Hong Kong-basert registrar og bruker kinesiske navneservere, opererer angrepsinfrastrukturen hovedsakelig fra amerikanske skytjenester, noe som gjenspeiler et globalt distribuert oppsett.

Smishing-triaden: Trusselaktører knyttet til Kina

Kampanjen tilskrives en Kina-tilknyttet gruppe kjent som Smishing Triad, beryktet for å oversvømme mobile enheter med falske varsler. I løpet av de siste tre årene har disse kampanjene vist seg å være svært lønnsomme, og generert mer enn 1 milliard dollar for trusselaktørene.

Nyere funn fremhever en betydelig utvikling i taktikkene deres. Phishing-sett retter seg i økende grad mot meglerkontoer for å stjele banklegitimasjon og autentiseringskoder. Angrep på disse kontoene økte fem ganger i andre kvartal 2025 sammenlignet med samme periode i 2024. Når angriperne er kompromittert, manipulerer de aksjekursene ved hjelp av «ramp and dump»-ordninger, og etterlater minimale papirspor.

Phishing-som-en-tjeneste: Et velsmurt kriminelt økosystem

Smishing Triad har forvandlet seg fra en enkel leverandør av phishing-sett til et svært aktivt Phishing-as-a-Service (PhaaS)-fellesskap, bestående av flere spesialiserte aktører:

  • Utviklere av phishing-sett – lag verktøyene.
  • Datameglere – leverer måltelefonnumre.
  • Domeneselgere – registrer engangsdomener for hosting av phishing-nettsteder.
  • Hostingleverandører – vedlikeholder servere.
  • Spammere – distribuerer falske meldinger i stor skala.
  • Liveness-skannere – bekreft aktive telefonnumre.
  • Blokkeringslisteskannere – sjekk domener mot blokkeringslister for rotasjon.

Dette økosystemet muliggjør rask utplassering og konstant tilpasning, noe som gjør deteksjon og forstyrrelser utfordrende.

Domeneregistrering og strategi for frafall

Analyser viser at nesten 93 200 av 136 933 rotdomener (68,06 %) er registrert under Dominet (HK) Limited. De fleste av disse bruker .com-prefikset, selv om det har vært en økning i registreringer av .gov-domener de siste månedene.

Kampanjen er sterkt avhengig av rask domeneomsetning:

  • 29,19 % av domenene var aktive i to dager eller mindre
  • 71,3 % var aktive i under en uke
  • 82,6 % var aktive i to uker eller mindre
  • Mindre enn 6 % overlevde lenger enn tre måneder

Denne churnen, kombinert med 194 345 FQDN-er som løses opp til 43 494 unike IP-adresser (for det meste i USA på Cloudflare), gjør at trusselaktørene kontinuerlig kan unngå å bli oppdaget.

Infrastrukturinnsikt og global rekkevidde

Viktige funn fra kampanjens infrastrukturanalyse inkluderer:

  • US Postal Service er den mest imiterte tjenesten, med 28 045 FQDN-er.
  • Lokkemidler for bompengetjenester dominerer, med omtrent 90 000 phishing-FQDN-er.
  • Domener som genererer høyest trafikk hostes hovedsakelig i USA, etterfulgt av Kina og Singapore.

Ofre er målrettet på tvers av flere sektorer, inkludert banker, kryptovalutabørser, leveringstjenester, politistyrker, statseide foretak, bompengetjenester, samkjøringsapper, hotell- og restauranttjenester, sosiale medier og e-handelsplattformer i land som Russland, Polen og Litauen.

Myndighetenes kampanjer for etterligning av personopplysninger omdirigerer ofte brukere til landingssider som krever ubetalte bompenger eller serviceavgifter, og noen ganger utnytter de ClickFix-lokkemidler for å lure brukere til å kjøre ondsinnet kode forkledd som CAPTCHA-verifiseringer.

Desentralisert trussel med global innvirkning

Smishing Triad-kampanjen demonstrerer global rekkevidde og desentralisering. Angripere registrerer og blar gjennom tusenvis av domener daglig, og etterligner ulike tjenester for å maksimere effekten. Smishing-kampanjer rettet mot amerikanske bompengetjenester representerer bare én fasett av en enorm, svært tilpasningsdyktig og lønnsom kriminalvirksomhet som fortsetter å utvikle seg i stor skala.

Trender

Mest sett

Laster inn...