Group-IB 的最新报告揭露了一个高度自动化的钓鱼框架,专门模仿意大利 IT 及网络服务巨头 Aruba S.p.A.——该公司服务超 540 万客户,深度嵌入意大利数字基础设施。
调查显示,现代钓鱼攻击已演变为成熟的商业生态系统。Group-IB 指出,网络犯罪分子常“在钓鱼活动中冒充知名 IT 公司,利用这些品牌积累的信任”。
此次分析的钓鱼工具包正是这一趋势的体现:它并非静态克隆网站,而是一个多阶段自动化平台,旨在实现隐蔽性、可扩展性和最大化数据提取。报告称,该工具包“被设计用于冒充意大利 IT 及网络服务提供商 Aruba S.p.A.”,能够危害从托管网站到域控制器和电子邮件环境的各类资产。
该工具包反映了钓鱼即服务(PhaaS) 的兴起——现成的攻击工具包像合法软件一样被开发、销售甚至提供技术支持。Group-IB 强调,这些产品“如同合法软件般被构建、销售和支持”,降低了非技术攻击者的入门门槛,助长了大规模攻击。
研究人员警告,钓鱼现已成为“持续、自动化的供应链”,防御者必须意识到:他们面对的不再是孤立攻击者,而是一个如敏捷企业般运作的犯罪生态系统。
攻击流程:从诱骗到数据窃取
受害者通过精心设计的鱼叉式钓鱼邮件陷入陷阱,邮件刻意制造紧迫感。Group-IB 发现,犯罪分子向 Aruba 客户发送诱饵,谎称服务即将到期或付款失败。
钓鱼页面是 Aruba.it 登录门户的高精度复制品,预填充包含受害者邮箱的登录 URL。用户点击链接后,虚假页面“自动填充邮箱字段……营造高度逼真的合法假象”。
凭据被捕获后,受害者会被重定向至 Aruba 合法网站,以掩盖怀疑。
四阶段钓鱼工作流
Group-IB 揭示了复杂的四阶段钓鱼流程,每一步均旨在提高转化率并规避检测:
阶段 1:基于 CAPTCHA 的规避
攻击以 CAPTCHA 验证开始,目的是“筛选安全机器人和扫描器的分析”,仅允许人类访问实际钓鱼内容。
阶段 2:凭据窃取
受害者看到与 Aruba 高度相似的登录页面,其用户名和密码“立即被泄露给攻击者”。
阶段 3:金融数据收集
随后,受害者会遇到虚假付款续订页面,要求支付小额费用(如 4.37 欧元)。该页面专门设计用于窃取完整信用卡信息:“姓名、卡号、有效期和 CVV”。
阶段 4:OTP/3D Secure 拦截
最后,受害者被引导至欺诈性 OTP 验证页面,捕获银行发送的一次性密码。这使攻击者能立即进行实时欺诈交易。
Telegram:犯罪操作的中枢
Telegram 是整个 operation 的核心支柱。Group-IB 强调,Telegram 充当“整个 operation 的中枢神经系统”,承担多重角色:
- 钓鱼工具包的分发与推广
- 社区支持与协作
- 被盗凭据的实时泄露
窃取的信息通过多个 Telegram 频道发送给攻击者,报告指出“主要方式是向预配置的 Telegram 聊天发送直接消息”,同时通过备用频道确保数据不丢失。
在某些情况下,开发者甚至免费分发工具包,加速其在犯罪社区中的传播。
结论:网络诈骗的工业化
Group-IB 总结,该工具包“体现了网络诈骗的工业化”。曾经需要专业技术的攻击,如今任何人都能通过模块化、自动化、订阅制框架(并有活跃犯罪社区支持)实施。
发表评论
您还未登录,请先登录。
登录