Platform Phishing as a service (PhaaS) ใหม่ที่มีชื่อว่า 'Robin Banks' ได้เปิดตัวโดยนำเสนอการ Phishing แบบสำเร็จรูปที่สามารถกำหนดเป้าหมายไปยังลูกค้าของธนาคารที่มีชื่อเสียง และบริการออนไลน์ อย่าง Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Lloyds Bank, Commonwealth Bank ในออสเตรเลีย และ Santander นอกจาก PhaaS แล้ว Robin Banks ยังเสนอแพลตฟอร์มสำหรับการขโมยบัญชีของ Microsoft, Google, Netflix และ T-Mobile
จากรายงานของ IronNet นักวิจัยพบว่า PhaaS ใหม่อย่าง Robin Banks ได้ถูกนำไปใช้ในแคมเปญขนาดใหญ่ที่เริ่มต้นในช่วงกลางเดือนมิถุนายน โดยกำหนดเป้าหมายไปที่เหยื่อผ่านทาง SMS และ Email
Robin Banks เป็นเครื่องมือใหม่ของกลุ่มอาชญากรไซเบอร์ที่มีความเคลื่อนไหวมาตั้งแต่เดือนมีนาคม 2565 โดยถูกสร้างขึ้นมาเพื่อจัดทำหน้า phishing คุณภาพสูงอย่างรวดเร็วเพื่อกำหนดเป้าหมายลูกค้าขององค์กรทางการเงินขนาดใหญ่
โดยมีขาย 2 ราคาคือ $50 ต่อเดือน สำหรับ single pages และ $200 ต่อเดือน สำหรับ All templates และการ support 24/7 ทั้งสองแบบ
เมื่อลงทะเบียนใช้งานเรียบร้อยแล้ว ผู้ใช้งานจะได้รับ Dashboard ที่มีรายงานเกี่ยวกับการดำเนินงาน การสร้างเพจอย่างง่าย การจัดการ wallet และตัวเลือกในการสร้างเว็บไซต์ Phishing แบบกำหนดเอง
แพลตฟอร์มนี้ยังสามารถกำหนดตัวเลือกต่างๆเพิ่มได้ เช่น การเพิ่ม reCAPTCHA เพื่อตรวจสอบผู้ใช้งาน หรือตรวจสอบ user agent strings เพื่อบล็อกการเข้าถึงของเหยื่อรายใดรายหนึ่งในกรณีที่เป็นแคมเปญที่เป็นเป้าหมายระดับสูง
"Robin Banks มี webGUI ที่ซับซ้อน แต่ใช้งานง่ายกว่า 16Shop และ BulletProftLink ซึ่งเป็น Phishing แพลตฟอร์มที่เป็นที่รู้จักกันเป็นอย่างดี ซึ่งมีราคาแพงกว่า Robin Banks ด้วยเช่นกัน" IronNet ระบุในรายงาน
นอกจากนี้มันยังเพิ่ม Templates รูปแบบใหม่ๆ และอัปเดต Templates รูปแบบเก่าอย่างต่อเนื่อง เพื่อให้เป็นไปตามรูปแบบปัจจุบันของเว็ปไซต์ที่เป็นเป้าหมาย ข้อได้เปรียบเหล่านี้จึงทำให้ Robin Banks เป็นที่นิยมในวงการการโจมตีทางไซเบอร์เป็นจำนวนมาก ทำให้มันถูกนำมาใช้ในช่วง 2-3 เดือนที่ผ่านมา
แคมเปญที่กำลังดำเนินการอยู่
หนึ่งในแคมเปญที่ IronNet ตรวจพบเมื่อเดือนที่แล้ว ผู้โจมตีกำหนดเป้าหมายเป็นลูกค้าของ Citibank ผ่านทาง SMS ที่แจ้งเตือนเกี่ยวกับ "การใช้งานที่ผิดปกติ" ของบัตรเดบิตของลูกค้า Citibank
โดยลิงก์ที่แนบไว้จะนำเหยื่อไปยังหน้า Phishing ซึ่งจะถูกขอให้กรอกรายละเอียดข้อมูลส่วนบุคคล
เมื่อเข้าสู่เว็บไซต์ Phishing เบราว์เซอร์ของเหยื่อจะถูกตรวจสอบ เพื่อระบุว่าเหยื่อใช้งานบนเดสก์ท็อป หรือโทรศัพท์มือถือ เพื่อเลือกแสดงผลหน้าเว็ปไซต์ในเวอร์ชันที่เหมาะสม
เมื่อเหยื่อป้อนรายละเอียดที่จำเป็นทั้งหมดในฟิลด์แบบฟอร์มของเว็บไซต์ Phishing ข้อมูลจะถูกส่งผ่านไปยัง Robin Banks API ไปยังปลายทาง 2 แห่งคือให้กับผู้โจมตี และ platform administrator
เว็บไซต์ Phishing จะส่ง POST request ออกไปทุกครั้ง ในทุกๆเพจที่เหยื่อกรอกข้อมูล ซึ่งเป็นความพยายามในการขโมยข้อมูลให้ได้มากที่สุดเท่าที่จะเป็นไปได้ เนื่องจากเหยื่ออาจหยุดดำเนินการต่อเนื่องจากความสงสัย หรือเหตุผลอื่นๆ
โดยข้อมูลทั้งหมดที่ส่งไปยัง Robin Banks API สามารถดูได้จาก webGUI ของแพลตฟอร์มสำหรับทั้งผู้ใช้งาน และผู้ดูแลแพลตฟอร์ม Robin Banks ยังให้ตัวเลือกในการส่งต่อรายละเอียดที่ถูกขโมยมาไปยังช่องทางส่วนตัวของผู้ใช้งานเพื่อความสะดวกอีกด้วย
การเกิดขึ้นของ PhaaS คุณภาพสูงนั้นเป็นอันตรายต่อผู้ใช้งานอินเทอร์เน็ต เนื่องจากเป็นการส่งเสริมการทำ Phishing ให้กับผู้โจมตีที่อาจมีทักษะไม่มากนัก สามารถโจมตีเหยื่อได้ง่ายขึ้น
เพื่อป้องกันตัวเองให้ปลอดภัยจากการโจมตีเหล่านี้ ไม่ควรคลิกลิงก์ที่ส่งมาทาง SMS หรืออีเมล และยืนยันให้แน่ใจว่าเว็บไซต์ที่คุณเข้าชมนั้น เป็นเว็บไซต์ที่ถูกต้อง และต้องเปิดใช้งาน MFA ในทุกระบบที่ใช้งาน
ที่มา: bleepingcomputer
You must be logged in to post a comment.