Igralec grozeče triade Smishing
Obsežna kampanja smishinga je bila od 1. januarja 2024 povezana z več kot 194.000 zlonamernimi domenami, usmerjena pa je na širok spekter storitev po vsem svetu. Kampanja izkorišča zavajajoča SMS sporočila, da bi uporabnike zavedla do razkritja občutljivih podatkov, ki se pogosto predstavljajo kot kršitve cestnin ali napačno dostavljeni paketi.
Čeprav so domene registrirane prek registrarja s sedežem v Hongkongu in uporabljajo kitajske imenske strežnike, napadalna infrastruktura deluje predvsem iz storitev v oblaku, ki gostujejo v ZDA, kar odraža globalno porazdeljeno postavitev.
Kazalo
Umirjajoča triada: s Kitajsko povezani akterji grožnje
Kampanja se pripisuje skupini Smishing Triad, povezani s Kitajsko, ki je znana po tem, da mobilne naprave preplavlja z goljufivimi obvestili. V zadnjih treh letih so se te kampanje izkazale za zelo donosne in so akterjem grožnje prinesle več kot milijardo dolarjev.
Nedavne ugotovitve kažejo na pomemben razvoj njihovih taktik. Kompleti za lažno predstavljanje vse pogosteje ciljajo na borznoposredniške račune, da bi ukradli bančne poverilnice in avtentikacijske kode. Napadi na te račune so se v drugem četrtletju 2025 v primerjavi z enakim obdobjem leta 2024 povečali za petkrat. Ko so napadeni, napadalci manipulirajo s cenami delnic z uporabo shem »ramp and dump« in puščajo minimalne papirne sledi.
Lažno predstavljanje kot storitev: dobro utečen kriminalni ekosistem
Triada Smishing se je iz preprostega ponudnika kompletov za lažno predstavljanje preoblikovala v zelo aktivno skupnost Phishing-as-a-Service (PhaaS), ki jo sestavlja več specializiranih akterjev:
- Razvijalci kompletov za lažno predstavljanje – ustvarite orodja.
- Posredniki podatkov – zagotavljajo ciljne telefonske številke.
- Prodajalci domen – registrirajte domene za enkratno uporabo za gostovanje lažnih spletnih mest.
- Ponudniki gostovanja – vzdržujejo strežnike.
- Pošiljatelji neželene pošte – širijo goljufiva sporočila v velikih količinah.
- Skenerji aktivnih telefonskih številk – preverite aktivne telefonske številke.
- Skenerji blokovnih seznamov – preverjajo domene glede na blokovne sezname za rotacijo.
Ta ekosistem omogoča hitro uvajanje in nenehno prilagajanje, zaradi česar je odkrivanje in motnje zahtevno.
Strategija registracije domen in odhoda
Analiza kaže, da je skoraj 93.200 od 136.933 korenskih domen (68,06 %) registriranih pri podjetju Dominet (HK) Limited. Večina teh uporablja predpono .com, čeprav se je v zadnjih mesecih povečalo število registracij domen .gov.
Kampanja se močno zanaša na hitro menjavo domen:
- 29,19 % domen je bilo aktivnih dva dni ali manj
- 71,3 % jih je bilo aktivnih manj kot teden dni
- 82,6 % jih je bilo aktivnih dva tedna ali manj
- Manj kot 6 % jih je preživelo več kot tri mesece
Ta pretok, skupaj s 194.345 FQDN-ji, ki se razrešijo na 43.494 edinstvenih IP-jev (večinoma v ZDA na Cloudflare), omogoča akterjem grožnje, da se nenehno izogibajo odkrivanju.
Vpogledi v infrastrukturo in globalni doseg
Ključne ugotovitve analize infrastrukture kampanje vključujejo:
- Ameriška poštna služba je najpogosteje poosebljena storitev, z 28.045 FQDN-ji.
- Prevladujejo vabe za cestninske storitve, s približno 90.000 lažnimi FQDN-ji.
- Domene, ki ustvarjajo največ prometa, gostujejo predvsem v ZDA, sledijo jim Kitajska in Singapur.
Žrtve so tarča napadov v več sektorjih, vključno z bankami, menjalnicami kriptovalut, dostavnimi službami, policijo, državnimi podjetji, storitvami cestninjenja, aplikacijami za skupno vožnjo, gostinskimi storitvami, družbenimi mediji in platformami za e-trgovino v državah, kot so Rusija, Poljska in Litva.
Vladne kampanje za lažno predstavljanje uporabnike pogosto preusmerijo na ciljne strani, kjer so navedene neplačane cestnine ali stroški storitev, včasih pa izkoriščajo vabe ClickFix, da bi uporabnike zavedle do izvajanja zlonamerne kode, prikrite kot preverjanja CAPTCHA.
Decentralizirana grožnja z globalnim vplivom
Kampanja Smishing Triad dokazuje globalni doseg in decentralizacijo. Napadalci se dnevno registrirajo in preklapljajo med tisoči domen, pri čemer posnemajo različne storitve, da bi povečali učinek. Kampanje Smishing, usmerjene proti ameriškim cestninskim storitvam, predstavljajo le en vidik obsežnega, zelo prilagodljivega in dobičkonosnega kriminalnega podviga, ki se še naprej razvija v velikem obsegu.
