CTM360 telah mengamati lonjakan penting dalam dua kampanye phishing berbasis SMS: pointyphish (penipuan hadiah) dan Tollshark (penipuan pembayaran tol).
Pointyphish terkait dengan lebih dari 3.000 domain dan situs phishing, memangsa urgensi dengan mengklaim poin hadiah yang berakhir untuk menipu pelanggan ke situs penipuan yang mencuri rincian pembayaran
Demikian pula, Tollshark melibatkan lebih dari 2.000 domain dan situs phishing, mengeksploitasi kekhawatiran tol yang tidak dibayar untuk menangkap informasi sensitif dari individu yang tidak curiga.
CTM360 mendeteksi ribuan situs phishing ini di berbagai negara, menunjukkan bahwa ini bukan hanya masalah yang terlokalisasi – ini adalah upaya global yang terkoordinasi. Sifat luas dari serangan ini menunjukkan niat yang jelas untuk menargetkan individu pada skala, dengan tujuan mencuri data keuangan yang sensitif.
Dampaknya sangat luas, memengaruhi tidak hanya satu wilayah tetapi ribuan pelanggan dari berbagai merek di seluruh dunia.
Inti dari kampanye ini adalah Darcula Suite, platform phishing-as-a-service (PHAAS) yang kuat. Dibangun di atas React and Docker, Darcula memungkinkan penjahat cyber untuk meluncurkan situs phishing dalam waktu kurang dari 10 menit.
Ini mendukung pengiriman SMS multi-channel (termasuk iMessage dan RCS), membuat situs web lebih sulit dideteksi dan lebih mudah untuk skala secara global.
Dua kampanye yang berbeda, satu taktik umum
- Pointyphish – Mengirim peringatan SMS palsu tentang poin -poin hadiah yang berakhir untuk perbankan, maskapai penerbangan, dan pelanggan toko ritel, yang mengarah ke halaman phishing yang mencuri detail kartu kredit/debit penuh.
- Tollshark – Pose sebagai otoritas tol, peringatan tagihan dan denda yang belum dibayar. Korban diarahkan ke halaman pembayaran palsu yang mengumpulkan data pribadi dan keuangan.
Kedua serangan itu sederhana dalam struktur: mereka mulai dengan distribusi SMS, membuat urgensi, menyamar sebagai merek tepercaya, dan mengarahkan pelanggan untuk melepaskan rincian pembayaran.
Cara kerjanya – langkah demi langkah
Analis ancaman CTM360 memetakan seluruh siklus hidup serangan menggunakan CTM360 SCAM Navigator dan menganalisis setiap langkah secara rinci.
- Distribusi SMS:
Pesan membuat urgensi, baik tol tidak dibayar, atau poin akan berakhir. - Halaman pendaratan palsu:
Korban diarahkan ke situs phishing meniru merek nyata. - Keterlibatan & umpan:
Korban diminta untuk menebus poin atau membayar tol untuk menghindari hukuman. - Pengumpulan Data:
Data pribadi dipanen dengan kedok verifikasi. - Pencurian data pembayaran:
Korban tertipu untuk memasukkan info kartu, yang langsung dicatat.
Inside Flora: Sekilas ke Phaas
Darcula bukan hanya kit phishing – ini adalah platform PHAAS penuh untuk penipuan. Saat melacak kampanye ini, CTM360 mengungkap panel admin terbuka yang digunakan oleh penyerang yang mengelola suite Darcula.
Ini menawarkan jendela langka tentang bagaimana operasi phishing ini dijalankan:
- Manajemen Kampanye Terpusat: Beberapa akun penyerang menjalankan kampanye paralel.
- LIVE CORCOMEN LOGGING: Alamat IP, info perangkat, agen pengguna, dan data bentuk ditangkap secara real-time.
- Akses Berbasis Berlangganan: Penyerang beroperasi pada model berjenjang dengan kontrol berbasis akun.
- Alat Konfigurasi SMS: Alat bawaan untuk mengelola wilayah target dan templat pesan.
Baca Laporan Pointyphish & Tollshark lengkap
Untuk melihat lebih dalam ke kampanye. Termasuk tangkapan layar, sampel domain dan wawasan tentang bagaimana penipuan terstruktur dan beroperasi pada skala global, baca laporan lengkap di https://www.ctm360.com/reports/pointyphish-tollshark.
Disponsori dan ditulis oleh CTM360.
