За последние полгода решения «Лаборатории Касперского» обнаружили 2,5 млн уникальных фишинговых URL-адресов, многие из которых сгенерированы с помощью фиш-китов из Telegram.
Эксперты говорят, что мошенники все активнее используют мессенджер как для автоматизации своей деятельности, так и для предоставления различных услуг: от продажи фиш-китов (готовых наборов для создания фишинговых страниц) до помощи в подготовке персонализированных фишинговых кампаний.
Для продвижения своего «товара» фишеры нередко заводят Telegram-каналы, где в формате блога рассказывают аудитории о «фишках» в создании фишинга и развлекают подписчиков опросами в стиле «какой вид персональных данных вы предпочитаете?». Ссылки на такие каналы они распространяют через YouTube, GitHub, a также вместе с самими фиш-китами.
Изучив обнаруженные Telegram-каналы фишеров, исследователи разделили их услуги на платные и бесплатные. Среди бесплатных: боты, которых злоумышленники автоматизируют незаконную деятельность, например, помогают упростить создание фишинговых страниц и сбор пользовательских данных. Используя ботов, даже начинающие злоумышленники могут создавать, например, примитивные копии страниц авторизации социальных сетей, онлайн-игр и других популярных сервисов.
Также в Telegram-каналах преступников нередко можно встретить весьма щедрые предложения. Например, архивы с готовыми фиш-китами, нацеленные на множество международных и региональных брендов. Кроме того, фишеры делятся с подписчиками добытыми с помощью фишинга персональными данными жертв, указывая, проверены они или нет. Yellow light data на скриншоте ниже означает, что качество данных неизвестно. Вероятно, это отсылка к желтому сигналу светофора.
С чего мошенникам быть столь щедрыми и делиться ценными данными с другими, вместо того чтобы использовать их самостоятельно? С одной стороны, все бесплатные материалы и инструкции, которые мошенники так охотно раздают своей Telegram-аудитории, служат своего рода приманкой для менее опытных фишеров. Они дают возможность ознакомиться с различными инструментами, извлечь для себя первую выгоду и захотеть большего, для чего им можно предложить уже платные услуги.
С другой стороны, таким образом хакеры могут набирать себе бесплатную рабочую силу. Ведь часто создатели фишинг-ботов и фиш-китов могут получать все данные, собранные с помощью этих инструментов. Для привлечения большей аудитории злоумышленники рекламируют свои услуги и обещают научить зарабатывать с помощью фишинга большие деньги.
Но Telegram активно распространяются и платные товары, а также сервисы, работаюбщие по схеме «фишинг как услуга» (phishing-as-a-service). В такой сервис может входить не только доступ к фишинговым инструментам, но и инструкции для начинающих мошенников и техническая поддержка.
К тому же злоумышленники продают «продвинутые» скам- и фишинговые страницы — не примитивные копии сайтов известных брендов, а созданные с нуля ресурсы с более широкой функциональностью или инструменты для их генерации. На таких страницах могут использоваться элементы социальной инженерии, например, привлекательный дизайн и обещания крупного выигрыша, а также защита от обнаружения.
К примеру, эксперты изучили одно предложение, оснащенное антибот-системой, шифрованием URL-адресов, блокировкой по географическому принципу и другими полезными с точки зрения злоумышленников функциями. Также автор писал, что готов собрать фишинговую страницу с любой функциональностью на заказ.
Оказалось, что в этом «проекте» действительно содержатся скрипты для блокировки ботов поисковиков и антифишинговых технологий. Из этого специалисты делают вывод, что такие проекты — не что иное, как сложные или продвинутые фиш-киты.
Цены на подобные поддельные страницы довольно разные. Кто-то просит 10 долларов за экземпляр, кто-то отдаст архив с несколькими страницами за 50 долларов, а если в комплект входят нестандартные функции, например протокол безопасных онлайн-платежей 3-D Secure и помощь в настройке поддельного сайта, он может стоить и около 300 долларов.
Помимо разовых продаж фишинговых наборов и пользовательских данных, мошенники предлагают в Telegram систему подписок, в рамках которой предоставляют поддержку своим клиентам. В частности, обновляют фишинговые инструменты, защиту от обнаружения и ссылки, которые генерируют фиш-киты. По подписке также можно получить, например, OTP-бот (от One-Time-Password — одноразовый пароль), с помощью которого можно обойти двухфакторную аутентификацию.
Пообщавшись с продавцом одного из таких ботов, эксперты узнали его стоимость: неделя подписки с безграничным количеством звонков обойдется начинающим мошенникам в 130 долларов, а месяц обслуживания с кастомной настройкой бота — в целых 500 долларов.
Кроме того, нередко на продажу выставляются и данные банковских аккаунтов, добытые с помощью фишинга. В отличие от бесплатных данных, о которых шла речь выше, платные данные проверены с точностью до суммы на счете пользователя. От этой суммы обычно зависит и стоимость доступа к аккаунту. Например, в одном и том же канале за доступ к банковскому аккаунту с балансом 1400 долларов владельцы просят заплатить 110 долларов, а учетные данные от аккаунта с балансом 49 000 долларов выставили за 700 долларов.