‘Robin Banks’ adlı yeni bir hizmet olarak phishing (PhaaS) platformu hizmete girdi ve tanınmış bankaların müşterilerini ve çevrimiçi hizmetleri hedefleyen hazır phishing kitleri sunuyor.
Hedeflenen kuruluşlar arasında Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Lloyds Bank, Avustralya’daki Commonwealth Bank ve Santander yer alıyor.
Ayrıca Robin Banks, Microsoft, Google, Netflix ve T-Mobile hesaplarını çalmak için şablonlar sunar.
Analistleri yeni kimlik avı platformunu keşfeden IronNet’in bir raporuna göre, Robin Banks, Haziran ortasında başlayan ve kurbanları SMS ve e-posta yoluyla hedef alan büyük ölçekli kampanyalarda zaten kullanılıyor.
Robin Banks’in Ortaya Çıkışı
Robin Banks, en az Mart 2022’den beri aktif olduğuna inanılan bir siber suç grubunun, büyük finansal kuruluşların müşterilerini hedeflemek için hızlı bir şekilde yüksek kaliteli kimlik avı sayfaları oluşturmak için oluşturulmuş yeni projesidir.
Biri tek sayfalar ve ayda 50 ABD Doları karşılığında 7/24 destek sunan, diğeri ise tüm şablonlara sınırsız erişim ve aylık 200 ABD Doları karşılığında 7/24 destek sunan iki fiyat katmanında satılmaktadır.
Kayıt olduktan sonra, tehdit aktörleri, operasyonları, kolay sayfa oluşturma, cüzdan yönetimi ve özel kimlik avı siteleri oluşturma seçenekleri hakkında raporlar içeren kişisel bir gösterge panosu alır.
.png)
Platform ayrıca kullanıcılara botları engellemek için reCAPTCHA ekleme veya yüksek hedefli kampanyalardan belirli kurbanları engellemek için kullanıcı aracısı dizelerini kontrol etme gibi seçenekler sunar.
IronNet raporda, “Robin Banks web sitesinde, 16Shop ve BulletProftLink’ten daha gelişmiş ancak kullanıcı dostu bir web GUI’si var – aynı zamanda Robin Banks’ten belirgin şekilde daha pahalı olan iki iyi bilinen kimlik avı kiti”.
Ayrıca, yeni PhaaS platformu, hedeflenen varlıkların stil ve renk şeması değişikliklerini yansıtmak için sürekli olarak yeni şablonlar ekliyor ve eskilerini güncelliyor.
Bu avantajlar, Robin Banks’i siber suç alanında popüler hale getirdi ve son birkaç ay içinde birçok siber suçlu bunu benimsedi.
Aktif bir kampanya
Geçen ay IronNet tarafından tespit edilen bir kampanyada, Robin Banks’in bir operatörü, Citibank müşterilerini banka kartlarının “olağandışı kullanımı” konusunda uyaran SMS yoluyla hedef aldı.
İddia edilen güvenlik sınırlamalarını kaldırmak için sağlanan bağlantı, mağdurları kişisel bilgilerini girmelerinin istendiği bir kimlik avı sayfasına götürür.
Kimlik avı sitesine girildiğinde, kurbanın tarayıcısının masaüstünde mi yoksa mobilde mi olduğunu belirlemek için parmak izi alınır ve uygun web sayfası sürümü yüklenir.
Kurban, kimlik avı sitesinin form alanlarına gerekli tüm ayrıntıları girdiğinde, biri kampanya operatörü ve diğeri kurban için olmak üzere iki benzersiz belirteç içeren Robin Banks API’sine bir POST isteği gönderilir.
.png)
Kimlik avı sitesi, kurbanın doldurduğu her web sayfası için bir POST isteği gönderir; bu, kimlik avı işlemi herhangi bir zamanda şüphe veya başka nedenlerle durabileceğinden, mümkün olduğunca çok ayrıntıyı çalmak için güvenli bir şekilde çalışır.
Robin Banks API’sine gönderilen tüm veriler, hem operatör hem de platform yöneticileri için platformun webGUI’sinden görüntülenebilir.
Robin Banks ayrıca kolaylık olması açısından çalınan bilgileri operatörün kişisel Telegram kanalına iletme seçeneği de sunar.
Görünüm
Yeni bir yüksek kaliteli PhaaS platformunun ortaya çıkması, düşük becerili siber suçlulara kimlik avını teşvik ettiği ve zor mesajların bombardımanını artırdığı için internet kullanıcıları için uygun değil.
Kendinizi bu kötü niyetli girişimlerden korumak için asla SMS veya e-posta yoluyla gönderilen bağlantılara tıklamayın ve her zaman girdiğiniz web sitesinin resmi olduğunu onaylayın.
Son olarak, tüm hesaplarınızda 2FA’yı etkinleştirin ve tek kullanımlık şifreleri almak için özel bir telefon numarası kullanın.