RCS-сообщения - новая лазейка для атак на пользователей Android и iPhone.
Компания Netcraft https://www.netcraft.com/blog/darcul...stal-services/новый фишинговый сервис Darcula, который использует более на 20 000 доменов для имитации популярных брендов и кражи учетных данных пользователей Android и iPhone в более чем 100 странах.
PHaaS-сервис Darcula выделяется на фоне других подобных сервисов своим подходом к дистрибуции фишинговых сообщений: вместо традиционных SMS злоумышленники используют RCS-протоколы (Rich Communication Services) для Google Messages и iMessage, из-за чего сообщения выглядят более убедительно и обходят некоторые меры безопасности.
Сервис предлагает своим клиентам более 200 шаблонов для создания фишинговых страниц, которые имитируют интерфейсы известных организаций, включая финансовые учреждения, государственные службы, телекоммуникационные компании и авиакомпании. Созданные страницы отличаются высоким качеством, используют локальные языки, логотипы и контент.
https://www.securitylab.ru/upload/me...m9czbancx9.png
Фишинговые шаблоны различных сервисов
Киберпреступники выбирают бренд для имитации и запускают скрипт установки, который разворачивает соответствующий фишинговый сайт в Docker-окружении. Система использует открытый регистр контейнеров Harbor для хостинга Docker-образа, а сами сайты разрабатываются на React.
Аналитики Netcraft отмечают, что Darcula обычно использует домены верхнего уровня «.top» и «.com» для хостинга фишинговых атак, причем около трети из них защищены Cloudflare. Всего было отмечено 20 000 доменов, связанных с Darcula, расположенных на 11 000 IP-адресах. Отмечается, что ежедневно добавляется около около 120 новых доменов.
Отказ от использования SMS и переход на RCS и iMessage делает фишинговые сообщения менее подверженными блокировке на основе контента благодаря поддержке сквозного шифрования (End-to-End Encryption, E2EE). Нововведения в законодательстве, направленные на борьбу с киберпреступностью через SMS, скорее всего, стимулировали переход на такие протоколы.
Преимущество использования RCS заключается в том, что получатели с большей вероятностью поверят сообщению, доверившись дополнительным гарантиям, недоступным в SMS.
https://www.securitylab.ru/upload/me...znohkd4wcq.png
RCS-сообщение, направляющее жертв на фишинговый сайт
Пользователям следует быть осторожными со всеми входящими сообщениями, которые призывают перейти по ссылкам, особенно если отправитель неизвестен. Неточности в грамматике, орфографические ошибки, слишком привлекательные предложения или призывы к срочным действиям должны вызывать подозрение.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.netcraft.com/blog/darcula-smishing-attacks-target-usps-and-global-postal-services/</pre>