Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Fishing Aktor Kërcënues i Triadës Smishing

Aktor Kërcënues i Triadës Smishing

Nga MezoFishing, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një fushatë në shkallë të gjerë sulmesh është lidhur me mbi 194,000 domene keqdashëse që nga 1 janari 2024, duke synuar një gamë të gjerë shërbimesh në të gjithë botën. Fushata shfrytëzon mesazhe mashtruese SMS për të mashtruar përdoruesit që të zbulojnë informacione të ndjeshme, shpesh duke u paraqitur si shkelje të tarifave ose pako të dërguara gabimisht.

Pavarësisht se domenet regjistrohen përmes një regjistruesi me seli në Hong Kong dhe përdorin servera emrash kinezë, infrastruktura e sulmit operon kryesisht nga shërbime cloud të hostuara në SHBA, duke reflektuar një konfigurim të shpërndarë globalisht.

Triada Smishing: Aktorët kërcënues të lidhur me Kinën

Fushata i atribuohet një grupi të lidhur me Kinën, të njohur si Smishing Triad, të njohur për përmbytjen e pajisjeve mobile me njoftime mashtruese. Gjatë tre viteve të fundit, këto fushata kanë rezultuar shumë fitimprurëse, duke gjeneruar më shumë se 1 miliard dollarë për aktorët kërcënues.

Gjetjet e fundit nxjerrin në pah një evolucion të rëndësishëm në taktikat e tyre. Setet e phishing-ut po synojnë gjithnjë e më shumë llogaritë e ndërmjetësimit për të vjedhur kredencialet bankare dhe kodet e autentifikimit. Sulmet ndaj këtyre llogarive u pesëfishuan në tremujorin e dytë të vitit 2025 krahasuar me të njëjtën periudhë në vitin 2024. Pasi kompromentohen, sulmuesit manipulojnë çmimet e aksioneve duke përdorur skema 'ramp and dump', duke lënë gjurmë minimale në letër.

Phishing-si-shërbim: Një ekosistem kriminal i mirë-vajitur

Triada Smishing është transformuar nga një ofrues i thjeshtë i pajisjeve të phishing-ut në një komunitet shumë aktiv të Phishing-as-a-Service (PhaaS), i përbërë nga aktorë të shumtë të specializuar:

  • Zhvilluesit e kitave të phishing – krijojnë mjetet.
  • Ndërmjetësit e të dhënave – ofrojnë numra telefoni të synuar.
  • Shitës domenesh – regjistroni domene të disponueshme për të pritur faqe interneti phishing.
  • Ofruesit e hostimit – mirëmbajnë serverat.
  • Spammerët – shpërndajnë mesazhe mashtruese në shkallë të gjerë.
  • Skanerë Liveness – verifikoni numrat aktivë të telefonit.
  • Skanerë të listave të bllokimit – kontrolloni domenet kundrejt listave të bllokimit për rotacion.

Ky ekosistem lejon vendosje të shpejtë dhe përshtatje të vazhdueshme, duke e bërë zbulimin dhe ndërprerjen sfiduese.

Regjistrimi i domenit dhe strategjia e largimit të tij

Analiza zbulon se gati 93,200 nga 136,933 domene rrënjë (68.06%) janë të regjistruara nën Dominet (HK) Limited. Shumica e këtyre përdorin parashtesën .com, megjithëse ka pasur një rritje në regjistrimet e domeneve .gov në muajt e fundit.

Fushata mbështetet shumë në qarkullimin e shpejtë të domeneve:

  • 29.19% e domeneve ishin aktive për dy ditë ose më pak
  • 71.3% ishin aktivë për më pak se një javë
  • 82.6% ishin aktivë për dy javë ose më pak
  • Më pak se 6% mbijetuan përtej tre muajsh

Kjo lëvizje, e kombinuar me 194,345 FQDN që zgjidhen në 43,494 IP unike (kryesisht në SHBA në Cloudflare), u lejon aktorëve kërcënues të shmangin vazhdimisht zbulimin.

Njohuri mbi Infrastrukturën dhe Shtrirja Globale

Gjetjet kryesore nga analiza e infrastrukturës së fushatës përfshijnë:

  • Shërbimi Postar i SHBA-së është shërbimi më i imituar, me 28,045 FQDN.
  • Karremat e shërbimit me pagesë dominojnë, me afërsisht 90,000 FQDN-e phishing.
  • Domenet që gjenerojnë trafikun më të lartë hostohen kryesisht në SHBA, të ndjekura nga Kina dhe Singapori.

Viktimat janë në shënjestër të sektorëve të shumtë, duke përfshirë bankat, bursat e kriptomonedhave, shërbimet e shpërndarjes, forcat policore, ndërmarrjet shtetërore, shërbimet e taksave, aplikacionet e përdorimit të përbashkët të makinave, shërbimet e mikpritjes, mediat sociale dhe platformat e tregtisë elektronike në vende si Rusia, Polonia dhe Lituania.

Fushatat qeveritare të imitimit të identitetit shpesh i ridrejtojnë përdoruesit në faqet hyrëse që pretendojnë se kanë paguar tarifa ose tarifa shërbimi të papaguara, ndonjëherë duke përdorur karremat e ClickFix për të mashtruar përdoruesit që të ekzekutojnë kod të dëmshëm të maskuar si verifikime CAPTCHA.

Kërcënim i Decentralizuar me Ndikim Global

Fushata Smishing Triad demonstron shtrirje globale dhe decentralizim. Sulmuesit regjistrohen dhe kalojnë nëpër mijëra domene çdo ditë, duke imituar shërbime të ndryshme për të maksimizuar ndikimin. Fushatat Smishing që synojnë shërbimet me pagesë në SHBA përfaqësojnë vetëm një aspekt të një ndërmarrjeje kriminale të gjerë, shumë adaptive dhe fitimprurëse që vazhdon të evoluojë në shkallë të gjerë.

Në trend

Më e shikuara

Po ngarkohet...