Исследование проливает свет на теневой мир фишинга текстовых сообщений

Прочитано: 74 раз(а)


Исследователи собрали и проанализировали беспрецедентное количество данных о фишинговых SMS-атаках, проливая свет как на масштабы, так и на природу фишинговых SMS-операций. В работе также описываются методы, которые можно использовать для сбора дополнительных данных о фишинговой деятельности, и определяются способы, которые сотрудники правоохранительных органов могут использовать для борьбы с фишинговыми операциями.

Речь идет о SMS-фишинге, который относится к атакам, в которых мошенники используют текстовые сообщения, чтобы попытаться заставить людей поделиться личной информацией , например номерами кредитных карт или паролями, выдавая себя за доверенное лицо, например банк или государственное учреждение.

«По данным Антифишинговой рабочей группы , в 2023 году в мире произошло больше фишинговых атак, чем когда-либо прежде », — говорит Алекс Нахапетян, первый автор статьи об исследовании и доктор философии. студент Университета штата Северная Каролина.

«Эти атаки влияют на онлайн-безопасность и конфиденциальность потребителей и могут быть чрезвычайно дорогостоящими, но у нас очень мало данных о них», — говорит Нахапетян. «Это потому, что телекоммуникационные компании обеспокоены конфиденциальностью клиентов и не хотят проверять личные данные, передаваемые через текстовые сообщения».

Чтобы обойти это ограничение, исследователи использовали SMS-шлюзы — онлайн-сайты, позволяющие пользователям получать одноразовые номера телефонов. Исследователи использовали SMS-шлюзы для получения большого количества одноразовых телефонных номеров. Поскольку SMS-фишинг сейчас настолько широко распространен, они смогли просто дождаться, пока эти одноразовые телефонные номера начнут подвергаться фишинговым атакам.

Используя этот метод, исследователи проследили 2011 телефонных номеров и выявили 67 991 фишинговое сообщение в течение 396 дней.

Используя текстовый анализ, исследователи определили, что эти фишинговые сообщения можно разделить на 35 128 уникальных кампаний, то есть в них используется практически идентичный контент. Дальнейший анализ показал, что эти кампании были связаны с 600 различными фишинговыми операциями по SMS.

«Например, если мы видели несколько кампаний, которые направляли жертв на один и тот же URL-адрес, эти кампании были частью одной и той же операции», — говорит Нахапетян. «Точно так же, если мы видели одну кампанию, в которой использовалось несколько URL-адресов, мы могли определить, что эти URL-адреса были частью одной и той же операции».

Некоторые выводы оказались удивительными. Например, исследователи обнаружили, что SMS-фишеры используют основные серверы, приложения для сокращения URL-адресов и веб-инфраструктуру для поддержки своих операций.

«Большинство людей связывают киберпреступность с какой-то теневой инфраструктурой», — говорит Нахапетян. «Но эти фишинговые мошеннические операции проводятся с использованием той же инфраструктуры, что и все остальные».

Исследователи также обнаружили, что некоторые фишеры также создают свои собственные домены, которые они используют для размещения своих собственных сокращений URL-адресов.

«Это повышает вероятность того, что частные службы сокращения URL-адресов обеспечивают некоторую дополнительную защиту фишерам или что эта услуга продается фишерам как часть фишинговой экосистемы», — говорит Нахапетян. «Это область будущих исследований».

Исследователи также проверили защиту телекоммуникационных услуг, отправив собственные (безобидные) фишинговые сообщения на 10 телефонных номеров. Они сделали это непосредственно с частного телефона и снова с помощью службы массовых сообщений. Все фишинговые сообщения были успешно доставлены. Однако затем служба массовых рассылок заблокировала аккаунт исследователя.

Исследователи также искали службы массовой рассылки сообщений, которыми фишеры могли бы пользоваться неоднократно, — и нашли их. Сервисы, которые способствовали фишинговым атакам, не прятались в темных уголках Интернета, а открыто рекламировались на общедоступных платформах социальных сетей, таких как LinkedIn.

«В целом результаты подчеркивают две вещи», — говорит Нахапетян. «Во-первых, мы уже знали, что существует целая экономика фишинга по электронной почте, и эта работа ясно показывает, что это справедливо и для фишинга по SMS. Кто-то может прийти и купить всю готовую операцию — код, URL-адрес, массовая рассылка сообщений и все такое. И если их сайт закроют или службу обмена сообщениями заблокируют, им все равно — они просто перейдут к следующему.

«Во-вторых, мы обнаружили, что сообщения от многих фишинговых операций содержат то, что выглядит как примечания к самим себе. Например, текст может заканчиваться словами «маршрут 7», «маршрут 9» или чем-то еще. Это говорит о том, что фишеры используют SMS-шлюзы. протестировать различные маршруты доставки фишинговых сообщений, чтобы определить, какие маршруты с наибольшей вероятностью пропустят их сообщение».

По крайней мере в четырех случаях исследователи идентифицировали эти «тестовые сообщения» (включая URL-адрес, который использовали фишеры) до того, как фишеры полностью развернули свою веб-инфраструктуру по этому URL-адресу.

«Это говорит нам о том, что сообщения были отправлены до того, как начались всерьез фишинговые атаки », — говорит Нахапетян. «Это важно, поскольку предполагает, что, отслеживая SMS-шлюзы, мы сможем идентифицировать некоторые фишинговые URL-адреса до того, как их атаки развернутся в больших масштабах. Это облегчит выявление и блокировку этих фишинговых кампаний до того, как кто-либо из пользователей поделится личными данными». »

Доклад « О тактике и инфраструктуре SMS-фишинга » был представлен 20 мая на симпозиуме IEEE по безопасности и конфиденциальности, который проходил в Сан-Франциско, Калифорния.

Исследование проливает свет на теневой мир фишинга текстовых сообщений



Новости партнеров