در طول سال گذشته (2023) بیش از 140 هزار وب سایت فیشینگ مرتبط با یک پلتفرم فیشینگ به عنوان سرویس (PhaaS[1]) به نام Sniper Dz شناسایی شده است. بسیاری از مجرمان سایبری از این پلتفرم برای سرقت اطلاعات و دادههای احراز هویت استفاده میکنند.
Sniper Dz یک پنل مدیریت آنلاین با کاتالوگ صفحات فیشینگ را به فیشرها ارائه میدهد. فیشرها میتوانند این صفحات فیشینگ را در سرور زیرساخت Sniper Dz آپلود کنند و یا قالبهای فیشینگ را برای میزبانی در سرورهای خود دانلود نمایند.
جالب است که این سرویسها به صورت رایگان ارائه میشوند. دادههای احراز هویت جمع آوری شده با استفاده از این وب سایتها به اپراتورهای پلتفرم PhaaS نیز منتقل میگردد، تکنیکی که مایکروسافت آن را سرقت مضاعف نامیده است!
پلتفرمهای PhaaS به روشی متداول برای هکرهای مشتاق به منظور ورود به دنیای جرایم سایبری تبدیل شدهاند و به آنهایی که تخصص فنی کمی دارند نیز اجازه میدهند حملات فیشینگ را در مقیاس بزرگ به انجام رسانند.
چنین کیتهای فیشینگی را میتوان از تلگرام و کانالها و گروههای اختصاصی که تمام جنبههای زنجیره حمله از سرویسهای میزبانی گرفته تا ارسال پیامهای فیشینگ را ارائه میدهند، خریداری کرد.
Sniper Dz از این قاعده مستثنی نیست زیرا هکرها یک کانال تلگرامی با بیش از 7000 مشترک از اول اکتبر 2024 دارند. این کانال در 25 می 2020 ایجاد شده است.
جالب اینجاست که یک روز پس از انتشار گزارش Unit 42 در این خصوص، مدیران کانال، گزینه حذف خودکار را فعال کردهاند تا پس از یک ماه، تمامی پستها به طور خودکار حذف شوند. این اقدام، احتمالاً تلاشی برای پنهان کردن ردپای فعالیت آنها است، اگرچه پیامهای قبلی در تاریخچه چت وجود دارند.
طبق صفحه اصلی وب سایت، پلتفرم PhaaS در clearnet قابل دسترس است اما برای دسترسی به ابزارهای کلاهبرداری و هک، نیاز به ثبت نام دارد.
ویدیویی که در ژانویه 2021 در Vimeo آپلود شد نشان میدهد که این سرویس، قالبهای کلاهبرداری آماده برای سایتهای آنلاین مختلف مانند X، فیسبوک، اینستاگرام، اسکایپ، یاهو، نتفلیکس، استیم، اسنپچت و پی پال را به زبانهای انگلیسی، عربی و فرانسوی ارائه میدهد. این ویدیو تا به امروز بیش از 67 هزار بازدید داشته است.
Hacker News همچنین ویدیوهای آموزشی آپلود شده در YouTube را شناسایی کرده است که بینندگان را برای دانلود قالبها از Sniper Dz و راه اندازی صفحات لاگین جعلی برای PUBG و Free Fire در پلتفرمهای قانونی مانند Google Blogger آموزش میدهد.
با این حال، هنوز مشخص نیست که آیا این افراد ارتباطی با توسعه دهندگان Sniper Dz دارند و یا فقط مشتریان این سرویس هستند.
Sniper Dz دارای قابلیت میزبانی صفحات فیشینگ در زیرساخت خود و ارائه لینکهای سفارشی برای اشاره به آن صفحات است. این سایتها سپس در پشت یک سرور پروکسی قانونی (proxymesh[.]com) پنهان میشوند تا شناسایی نگردند.
توسعه دهندگان پلتفرم Sniper Dz، این سرور پروکسی را به گونهای پیکربندی کردهاند که به طور خودکار محتوای فیشینگ را از سرور خود بدون ارتباط مستقیم بارگیری میکند.
این تکنیک میتواند به Sniper Dz برای محافظت از سرورهای پنهانی خود کمک کند، چرا که مرورگر قربانی یا یک خزنده امنیتی، سرور پروکسی را مسئول بارگیری پیلود فیشینگ میداند.
گزینه دیگر برای مجرمان سایبری این است که قالبهای صفحه فیشینگ را به صورت آفلاین به عنوان فایلهای HTML دانلود کرده و آنها را بر روی سرورهای خود میزبانی کنند.
علاوه بر این، Sniper Dz ابزارهای اضافی را برای تبدیل قالبهای فیشینگ به قالب بلاگ ارائه میدهد که میتوانند در دامنههای Blogspot میزبانی شوند.
اطلاعات کاربری ربوده شده در نهایت در یک پنل مدیریتی نمایش داده میشوند که با ورود به سایت clearnet قابل دسترس هستند. واحد 42 شبکههای پالو آلتو اعلام کرده است که از ژوئیه 2024 با استفاده از Sniper Dz که عمدتاً کاربران وب را در ایالات متحده هدف قرار میدهد، افزایش قابل توجهی در فعالیت فیشینگ مشاهده کرده است.
صفحات فیشینگ Sniper Dz، دادههای احراز هویت قربانیان را استخراج و آنها را از طریق یک زیرساخت متمرکز ردیابی میکنند. این کار میتواند به Sniper Dz کمک کند تا دادههای سرقت شده قربانیان توسط فیشرهایی که از این پلتفرم PhaaS استفاده مینمایند را جمع آوری کند!
[1] phishing-as-a-service
