Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Robin Banks: новая PhaaS-платформа на киберпреступной арене

29/07/22

Исследователи IronNet сообщили о запуске новой платформы, предоставляющей инструменты для фишинга как услугу (Phishing-as-a-Service или PhaaS). Платформа называется Robin Banks и она продает злоумышленникам готовые наборы инструментов для фишинга, нацеленные на клиентов финансовых компаний США, Великобритании, Канады и Австралии.Чтобы попасть на сайт Robin Banks, покупатель должен создать аккаунт на платформе, указав электронную почту, пароль, а также заплатить небольшую сумму в криптовалюте, пишет Securitylab. При входе на сайт покупателей встречают структурированные приборная и боковая панели. На них можно создавать фишинговые страницы, отслеживать их состояние, пополнить кошелек на платформе и т.д. Здесь же можно создать кастомный набор инструментов для фишинга.

Robin Banks предлагает разные варианты подписки на свои инструменты. Самый простой стоит $50 в месяц и предлагает одну фишинговую страницу. А за $200 в месяц покупатель получает доступ ко всем возможным страницам. В среднем, за рабочий набор инструментов злоумышленники должны будут заплатить от $150 до $300 в месяц.

pasted image 0 (20)

Настраивая инструмент, злоумышленники могут выбрать один из множества брендов, чтобы замаскировать под него фишинговую страницу. Кроме этого, клиентам платформы доступны различные варианты настройки страницы.

pasted image 0 (21)

Закончив настройку инструмента, злоумышленник может начать свою фишинговую кампанию, рассылая фальшивые SMS-сообщения или электронные письма, в которых будет ссылка на страницу, созданный с помощью Robin Banks. Как только жертва перейдет по ссылке, она попадет на фишинговую страницу, которая соберет данные о ее браузере, чтобы правильно отобразить страницу в соответствии с типом устройства. Когда жертва заполнит все поля на сайте, домен отправит собранные данные в API Robin Banks.

Запрос содержит в себе два уникальных токена. Один из них используется для взаимодействия злоумышленника с API, а второй является токеном жертвы. Специалисты проанализировали трафик и заметили, что каждый раз, когда жертва попадает на другую страницу, запрашивающую ее информацию – создается отдельный POST-запрос, собирающий данные. По мнению экспертов, это нужно для того, чтобы собрать хоть какие-то данные, если жертва раскусит обман и решит выйти с фишинговой страницы, не заполнив форму сбора данных до конца.

После этого, все собранные данные оказываются на одной из панелей на сайте Robin Banks, после чего их можно отправить в Telegram. Однако, доступ к собранным данным имеет не только злоумышленник, но и администраторы платформы, так как информация жертвы приходит на их API.

По мнению специалистов, мотивация продавцов и покупателей проста – заработать как можно больше. Продавцы получают деньги с подписчиков, а злоумышленники – с обманутых жертв или перепродажи украденных данных.

Темы:Угрозыфишингкибератака-как-услугаIronNet
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...