29/07/22
Исследователи IronNet сообщили о запуске новой платформы, предоставляющей инструменты для фишинга как услугу (Phishing-as-a-Service или PhaaS). Платформа называется Robin Banks и она продает злоумышленникам готовые наборы инструментов для фишинга, нацеленные на клиентов финансовых компаний США, Великобритании, Канады и Австралии.Чтобы попасть на сайт Robin Banks, покупатель должен создать аккаунт на платформе, указав электронную почту, пароль, а также заплатить небольшую сумму в криптовалюте, пишет Securitylab. При входе на сайт покупателей встречают структурированные приборная и боковая панели. На них можно создавать фишинговые страницы, отслеживать их состояние, пополнить кошелек на платформе и т.д. Здесь же можно создать кастомный набор инструментов для фишинга.
Robin Banks предлагает разные варианты подписки на свои инструменты. Самый простой стоит $50 в месяц и предлагает одну фишинговую страницу. А за $200 в месяц покупатель получает доступ ко всем возможным страницам. В среднем, за рабочий набор инструментов злоумышленники должны будут заплатить от $150 до $300 в месяц.
.png?width=554&name=pasted%20image%200%20(20).png)
Настраивая инструмент, злоумышленники могут выбрать один из множества брендов, чтобы замаскировать под него фишинговую страницу. Кроме этого, клиентам платформы доступны различные варианты настройки страницы.
.png?width=550&name=pasted%20image%200%20(21).png)
Закончив настройку инструмента, злоумышленник может начать свою фишинговую кампанию, рассылая фальшивые SMS-сообщения или электронные письма, в которых будет ссылка на страницу, созданный с помощью Robin Banks. Как только жертва перейдет по ссылке, она попадет на фишинговую страницу, которая соберет данные о ее браузере, чтобы правильно отобразить страницу в соответствии с типом устройства. Когда жертва заполнит все поля на сайте, домен отправит собранные данные в API Robin Banks.
Запрос содержит в себе два уникальных токена. Один из них используется для взаимодействия злоумышленника с API, а второй является токеном жертвы. Специалисты проанализировали трафик и заметили, что каждый раз, когда жертва попадает на другую страницу, запрашивающую ее информацию – создается отдельный POST-запрос, собирающий данные. По мнению экспертов, это нужно для того, чтобы собрать хоть какие-то данные, если жертва раскусит обман и решит выйти с фишинговой страницы, не заполнив форму сбора данных до конца.
После этого, все собранные данные оказываются на одной из панелей на сайте Robin Banks, после чего их можно отправить в Telegram. Однако, доступ к собранным данным имеет не только злоумышленник, но и администраторы платформы, так как информация жертвы приходит на их API.
По мнению специалистов, мотивация продавцов и покупателей проста – заработать как можно больше. Продавцы получают деньги с подписчиков, а злоумышленники – с обманутых жертв или перепродажи украденных данных.
