官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
secist- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
背景
近日,Check Point 和 CyberInt 公司的研究人员在暗网上发现下一代网络钓鱼工具包,可供菜鸟级别的黑客发起网络攻击。黑客只需简单下载这款多功能网络钓鱼工具包,并按照安装指南进行安装,随后就可以轻松发起网络钓鱼活动,快速地收集用户的个人和财务数据。
在Check Point最近的一项调查中显示,有65%的受访者表示他们的组织已经成为网络钓鱼企图的牺牲品。网路罪犯常会使用各种技术手段来获取组织网络的访问权,并窃取组织机密数据。而就消费者而言,他们的个人和财务凭证岌岌可危。
阅读以下指南,了解[A]pache如何鼓励和指导他的合作伙伴在短时间内建立一个成熟的网络钓鱼计划,并用他来欺骗不知情的消费者以窃取其财务数据。
Step 1:访问暗网并查找[A]pache网络钓鱼工具包广告
对于那些技术能力很弱的人来说,[A]pache可以很容易地帮其实现并进行自己的网络攻击。攻击者只需下载他的多功能网络钓鱼套件,并遵循以下指南进行安装即可。
普通的网络钓鱼工具仅售20美元~50美元不等,有些甚至是免费的,但这款工具包的价格介于100美元~300美元,价格贵的原因在于,这款工具包提供的是一套完整的工具(例如具有完整的后端界面)。
Step 2:选择模拟零售商
[A]pache网络钓鱼工具包提供了许多知名品牌供用户选择,其中包括:Walmart,Americanas,Ponto Frio,Casas Bahia,Submarino,Shoptime和Extra等知名品牌的网站。由于这些零售商大部分都是针对巴西用户的,看起来这个套件是针对那些对葡萄牙有很好了解的人,但我们也发现了一些针对美国品牌的套件。
Step 3:注册一个可以引诱受害者的合适域名
为了使构建的假网站更具可信度,攻击者还需要注册一个类似于目标品牌的域名,例如www.walmart-shopping.com。注册完成后,攻击者会将该套件部署到PHP和MySQL支持的Web主机上,并登录到套件的管理面板进行相关的活动配置。
配置选项包括:
- 电子邮件:选择新的发送钓鱼通知的电子邮件地址。
- URL:选择钓鱼网站所在的URL。
- 付款:选择禁用“BoletoBancário”1付款。 这将强制潜在的受害者进入他们的信用卡数据,或显示假Boleto细节。
- 产品管理:从目标零售商的网站插入合法产品URL,以自动导入并配置显示价格吸引目标。
- 受害者信息管理:一旦受害者被成功“钓鱼”,他们的信息就会显示在管理面板中,包括全部以及信用卡详细信息列表。
Step 4:添加产品到假的零售网站
为了简化这个过程,[A]pache在管理面板中制作了一个简单的用户界面,攻击者可以将合法零售商的产品URL黏贴其中,套件将自动导入这些产品信息,并将其放入钓鱼页面。攻击者可以通过查看products’来改变他们的原价。
Step 5:产品价格设置
与任何合法的网站一样,即便是一个假网站同样也有竞争力,所以对于产品价格的设置应该足以吸引客户的点击并查看。但需要注意的是,价格如果定的过低也可能会引起一些客户的怀疑。
网络罪犯接下来需要做的就是最大力度的宣传他们的假网站,引诱受害者。
Step 6:结账
当毫无防备的客户点击了来自网络罪犯发送的电子邮件,社交媒体链接或任何其他载体后,客户将会打开他们精心设计的假网站,一旦客户决定购买某样产品,他们将毫不犹豫的将自己的详细财务数据发送给攻击者。
[A]pache钓鱼工具包还附带了一个自动化的邮政编码查找功能。
Step 7:检查管理面板
付款细节输入后会直接被发送并存储至数据库,包括CVV码,他们可以通过检查套件后台管理面板,查看受害者的个人以及财务状况等信息。
同时,当受害者完成付款操作后,他们将会收到付款流程失败的通知,这将使受害者不会因为没收到货而起怀疑。
[A]pache是谁?
我们很想知道该工具包的幕后的真实身份。根据我们的经验,网络罪犯为了降低被抓的风险,通常会关闭假零售网站。如我们所料,我们在钓鱼工具包中发现了一个定制的‘error 404’ 网站正在使用中页面。
这个独特的登陆页面是由一个网页设计师创建的,他自己可能并不知道他的作品正在被恶意使用。我们没有发现使用这个404页面的任何合法网站,并且所谓的“蓝色世界电子”实际上也并不存在,我们注意到这个网页的英文版正在网上被使用。事实上,我们发现了几个使用该页面英文版的域名,均为PayPal网络钓鱼服务。
在此登录页面上,我们设法找到了实际的钓鱼工具包及其管理面板。这也是我们进一步查找,其幕后真实身份的重要线索。
在查看工具包代码时,在沃尔玛网络钓鱼网站的控制面板中找到“Douglas Zedn”句柄,设法将其链接到个人的Steam帐户,然后连接到他的Twitter帐户,进而揭开了虚拟人物“[A]pache”的真实面目。
‘Douglas’还在资源包中包含了一张个人资料图片。
正如你所见,进行基本的在线搜索时,我们在他的Steam社交媒体个人资料页面上也发现了使用相同身份的资料信息。
[A]pache真实面目
总结
网络钓鱼依然是窃取金融信息,知识产权,甚至干扰选举的持续面临的威胁。因此,消费者和企业都必须确保有最新的保护措施来防范此类威胁。
*参考来源:checkpoint,FB小编 secist 编译,转载请注明来自FreeBuf.COM
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 369 文章数
- 267 关注者