内容提要:
• BulletProofLink 是地下网络犯罪“网络钓鱼就是服务”门户;
• BulletProofLink 运营商为在线钓鱼活动提供在线钓鱼工具包“开箱即用”托管服务;
• BulletProofLink 商店为“客户”提供访问120多个网络钓鱼模板的权限;
最近,微软安全团队表示,他们发现了一项大规模操作:利用类似托管的基础设施为网络犯罪团伙提供钓鱼服务。微软表示,该服务是“网络钓鱼即服务”(Phishing-as-a-Service,简称PHaaS)模式。
据悉,该服务运营商被称为BulletProofLink、BulletProftLink或Anthrax,目前,在地下网络犯罪论坛上进行广告。
该服务是在“网络钓鱼工具包”——模仿已知公司登录形式的网络钓鱼页面和模板的集合——从基础演变而来。
研究人员说,BulletProofLink还通过提供内置托管和电子邮件发送服务,将其提升到一个新的水平。
客户支付800美元BulletProofLink门户注册,BulletProofLink运营商将为他们处理其他一切。这些服务包括设置网页托管钓鱼网站、安装钓鱼模板本身、为钓鱼网站配置域名、向目标受害者发送实际钓鱼邮件、从攻击中收集凭证,然后在周末“付费客户”交付被盗的登录信息。
若犯罪团伙想要改变他们的网络钓鱼模板,BulletProofLink该团伙还经营一家单独的商店,威胁行为者可以购买新的攻击模板,每个新模板的价格从80美元到100美元不等。
据悉,BulletProofLink该商店提供大约120个不同的在线钓鱼模板。此外,该网站还提供帮助客户使用该服务的教程。
然而,微软研究人员表示,他们还发现,该服务还通过保留收集到的所有凭证副本来窃取客户。我相信该组织将来会通过在地下市场出售这些凭证来盈利。
微软将整个操作描述为“技术演进”,该组织经常使用黑网站来托管其在线钓鱼页面。在某些情况下,安全团队还观察到BulletProofLink该团伙破坏了黑网站DNS为了在值得信赖的网站上生成子域载钓鱼网页。
微软表示,“在研究网络钓鱼攻击时,我们发现了一项使用大量新创建和独特子域的活动——一次运行3万多次。可想而知BulletProofLink‘网络钓鱼就是服务’规模有多大。”