Xakep #305. Многошаговые SQL-инъекции
Голландская полиция сообщила об аресте двух членов хак-группы группы Fraud Family (24-летнего мужчины и 15-летнего подростка), которая сдавала в аренду фишинг-киты собственного производства. Группировка работала через Telegram и в основном ориентировалась на голландских и бельгийских преступников. Считается, что 24-летний задержанный, чье имя не раскрывается, разработал фишинговые комплекты, а подросток отвечал за продажу доступа к инструментам.
Выйти на след Fraud Family правоохранителям помогли специалисты Group-IB Threat Intelligence. С 2020 года ИБ-компания фиксировала масштабные фишинговые атаки на жителей Нидерландов и Бельгии. Фальшивые страницы были замаскированы под ресурсы крупных европейских банков — с их помощью мошенники обманом похищали данные банковских карт. Типичная атака начиналась с сообщения в WhatsApp или SMS (якобы от банка) с просьбой перейти по ссылке — в результате жертва попадала на фишинговые ресурсы.
Заблокировав опасный контент, специалисты Group-IB детально изучили инфраструктуру злоумышленников и вышли на преступную группу Fraud Family, работающую по схеме Fraud-as-a-Service (Мошенничество-как-услуга). Для рекламы своих услуг злоумышленники активно использовали Telegram: суммарно на их каналы были подписаны около 2000 человек.
При этом группа продавала не только наборы для фишинга, но также создала платформу, работающую по схеме phishing-as-a-service (Фишинг-как-услуга), где хакерам предлагали размещать фишинговые сайты и бэкэнд, если сами злоумышленники не имели технических навыков для поддержания собственной инфраструктуры. Платформа предлагала защиту от ботов, чтобы предотвратить доступ ИБ-исследователей к фишинговым сайтам с целью анализа, а также защищала фишинговые ресурсы от поисковых роботов и таких сканеров безопасности, как VirusTotal и URLScan. Цены на такой хостинг обычно варьировались от 200 до 250 евро в месяц.
«Мы выделили основную команду — Fraud Family, определили роли участников, собрали цифровые доказательства и предоставили всю информацию полиции, что в итоге и привело к задержанию», — говорит Антон Ушаков, заместитель руководителя отдела по расследованию высокотехнологичных преступлений Group-IB в Европе.
Интересно, что после задержания подозреваемых голландская полиция сообщила всем участникам Telegram-каналов Fraud Family о случившемся, чтобы предостеречь их от будущих атак на голландские объекты.
Это не первый раз, когда правоохранители из Нидерландов предупреждают преступников о возможных последствиях. Так, в начале текущего года правоохранители опубликовали предупреждения на популярных русскоязычных и англоязычных хак-форумах (RaidForums и XSS), заявив, что «размещение криминальной инфраструктуры в Нидерландах — безнадежное дело».