Çince konuşan suçlulara hizmet etmeyi amaçlayan kedi temalı bir Hizmet Olarak Kimlik Avı (PHAA’lar) platformu olan Darcula’nın yeni, geliştirilmiş bir versiyonu bu ay yayınlanacak ve kötü niyetli kullanıcıların daha geniş bir hedeflemesi için özelleştirilmiş kimlik avı kitleri oluşturmasına izin verecek. Her zamankinden daha çeşitli markalar, netcraft araştırmacıları uyarı.
Ulusal postalarından veya teslimat hizmetlerinden sahte “kaçırılan paket” veya “paket onayı” bildirimlerine akıllıca giren kullanıcılar bile, yollarına devam edebilecek çeşitli kimlik avı yemleri hazır olmayabilir.
Darcula platformu kimlik avını kolaylaştırır
Gerekli adımlardan bazılarını otomatikleştirerek Darcula, teknik olarak deneyimsiz suçluların kimlik avı kampanyaları başlatmasını kolaylaştırıyor.
Platformun mevcut sürümü, dünya çapında 200’den fazla markanın kullanıcılarını hedeflemek için önceden oluşturulmuş kimlik avı kitleri sunmaktadır.
Araştırmacılar, yakında yayınlanacak olan en büyük yenilik, herhangi bir kullanıcının herhangi bir marka için bir kimlik avı kiti oluşturma yeteneğidir.
Kullanıcının yapması gereken tek şey, platformun arayüzüne erişmek, taklit etmek istedikleri markanın URL’sini eklemek ve platform HTML’yi ve benzeri bir kimlik avı sayfaları oluşturmak için gerekli tüm varlıkları dışa aktarır.
Kullanıcılar hangi HTML öğesini değiştireceğini ve hangi kimlik avı içeriğini enjekte edeceğini seçebilir ve kimlik avı formunu markalı sayfanın görünümüne ve hissine uygun olarak yeniden düzenleyebilir.
Enjekte edilen bir kredi kartı formu, metin makinelerinin bir kısmı İngilizce’ye dönüştürüldü. (Kaynak: Netcraft)
Platform, yanılsamayı mükemmelleştirmek ve bilgilerin hedeflerden çıkarılmasını en üst düzeye çıkarmak için ayrı sayfalar oluşturabilir: bir başlangıç cazibesi sayfası, kişisel bilgilerini ve ödeme kartı bilgilerini girmelerini isteyen bir sayfa ve onlardan girmelerini isteyen bir sayfa İki faktörlü kimlik doğrulama kodu.
Kimlik avı platformu, Darcula yönetici paneline yüklenebilen ve daha sonra kimlik avı kampanyalarını başlatmak için kullanılabilen tüm bu sayfaları içeren bir “.cat-page” demeti oluşturur.
Araştırmacılar, “Yeni Yönetici Paneli ayrıca Dolandırıcılara kredi kartlarını, çalıntı kimlik bilgilerini, aktif kampanyaları ve diğer ayrıntıları yönetmek için basitleştirilmiş bir kullanıcı arayüzü sunuyor” dedi.
“Bu gösterge tabloları da kabaca geliştirilmiş bir PHP komut dosyası değildir-Docker, Düğüm, React, SQLite ve çeşitli üçüncü taraf NPM kütüphaneleri dahil olmak üzere kurumsal sınıf sistemleri üzerine kurulmuştur. Detaylara olan bu dikkat mutlaka Darcula’yı meşrulaştırmak için bir çaba değildir, daha ziyade, tıpkı diğer SaaS platformları gibi deneyimi daha kolay ve daha erişilebilir hale getirir. ”
Darcula aracılığıyla gönderilen kimlik avı mesajları – genellikle iMessages ve Google mesajları (RCS standardına dayanan) – “kitle gönderen” komut dosyaları veya cihaz çiftlikleri aracılığıyla toplu olarak gönderilebilir.
Platform ayrıca kampanyaların keşfini önlemek/geciktirmek için gelişmiş aldatma tekniklerini uygulayabilir. Örneğin, web tarayıcıları engellenebilir ve böylece mobile olmayan cihazlar veya siber güvenlik şirketlerine ait olduğu bilinen IP adreslerinden sayfalara erişebilir.
Çalınan ödeme bilgilerinin suçlular tarafından nasıl kullanıldığı
Darcula V3, kurbanın kartının bir görüntüsünü oluşturmak için çalınan kart ayrıntılarından yararlanabilir, bu da dolandırıcıların sadece görüntüyü tarayarak dijital bir cüzdana eklemesini kolaylaştırır. (Araştırmacılar, çalınan olarak bildirilen kartların bile Crooks’un cüzdanlarıyla bağlantılı olabileceğini buldular.)
Çalınan kart detaylarından neredeyse üretilen bir kart örneği (Kaynak: Netcraft)
“Bu kartlar genellikle brülör telefonlarına yüklenir ve daha sonra Darcula suçluları tarafından satılır. Bu davranış, Darcula’ya bitişik bir telgraf sohbeti aracılığıyla cihaz başına 20’ye kadar çalıntı kartla önceden yüklenmiş brülör telefonlarını tanıtan dolandırıcılar tarafından doğrulandı ”dedi.
Muhabir Brian Krebs son zamanlarda dijital cüzdanlara çalınan kartların eklenmesinin genellikle nasıl gerçekleştiğini gösterdi.
“Ödeme kartı verilerini bu sitelerden birine giren kişilere, finansal kurumlarının müşterinin mobil cihazına bir kerelik bir şifre göndererek küçük işlemi doğrulaması gerektiği söylenecektir. Gerçekte, bu kod kurbanın finans kurumu tarafından kullanıcının gerçekten kart bilgilerini bir mobil cüzdana bağlamak istediğini doğrulamak için gönderilecek ”dedi.
“Kurban bir kerelik kod sağlarsa, Phishers kart verilerini Apple veya Google’dan yeni bir mobil cüzdana bağlar ve cüzdanı dolandırıcıların kontrol ettiği bir cep telefonuna yükler.”
Secalliance güvenlik araştırmacısı Ford Merrill’e atıfta bulunan Krebs, suçluların bu kartları/cüzdanları daha sonra nasıl kullandıklarını açıkladı:
- Stripe veya Zelle’de sahte e-ticaret işletmeleri kurmak ve onlar aracılığıyla işlemler yapmak
- Satış noktası (POS) terminallerinde “Tap-Pay” ı gerçekleştirme
- Bir POS terminali aracılığıyla ödeme yapmak veya ATM’lerden para almak için dünyanın dört bir yanındaki telefonlardan geçerli NFC özellikli musluk-ödemeleri aktarabilen bir Android uygulaması kullanma