雅加达——Palo Alto Networks 42 号单位的智能团队揭露了一项与被称为“smishing 三合会”的组织有关的大规模全球性 smishing 活动。
在深入研究后,Palo Alto Networks 发现威胁的范围和复杂性都大大超出预期。自 2024 年 4 月以来,攻击者通过不断成熟的社交工程策略将行动范围扩展到更多国家。
根据这些发现,模仿目标包括从银行、加密平台、医疗保健、执法、社交媒体到电子商务等重要领域。
“自 2024 年 1 月 1 日以来,我们已经确定了与此次行动相关的 194,000 多个恶意域。尽管这些域由香港注册商注册并使用中国名称服务器,但其主要攻击基础设施托管在美国流行的云服务中,”报告写道。
据称,该运动高度分散,每周处理数千个新域名,这使得检测变得更加困难,因为域名是短暂的,而且不断变化。
“全球规模、复杂的基础设施和高度逼真的钓鱼网站表明,这一活动背后存在着大型钓鱼攻击即服务 (PhaaS) 操作,”Unit 42 在报告中表示。
一般来说,攻击者会发送短信,让受害者感到有必要立即采取行动,然后将受害者引导到钓鱼网站,窃取敏感数据,如国家身份证号码、家庭住址、付款详细信息和登录凭据。
更糟糕的是,这一发现表明,人们正在转向使用直接电话号码。42 号单位发现了从 +63(菲律宾)和 +1(美国)代码发送的短信。
在调查中,Unit 42 还绘制了与 Smishing Triad 相关的 Telegram 频道活动图。过去六个月,该频道发展成为一个庞大的社区,提供域名注册、数据销售、大规模 SMS/RCS/IM 消息发送等各种非法服务。
参与smishing攻击的组织分成了供应链,从数据经纪人、域名销售商、托管提供商、网络钓鱼工具开发商到发送大量邮件的垃圾邮件发送者。还有支持服务,比如活跃号码扫描仪和黑名单检查器。
每天都有数千个新域和不断更新的策略,Unit 42 认为这些活动对不同国家的个人用户构成了全球性威胁。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
