Новый фишинг-сервис Caffeine позволяет рассылать письма от имени Mail.ru

Новый фишинг-сервис Caffeine позволяет рассылать письма от имени Mail.ru

Новый фишинг-сервис Caffeine позволяет рассылать письма от имени Mail.ru

При разборе мартовских фишинговых атак по своей клиентской базе эксперты Mandiant обнаружили, что злоумышленники воспользовались неизвестным ранее тулкитом Caffeine. Как оказалось, в Сети появился новый PhaaS-сервис (Phishing-as-a-Service, фишинг как услуга), который отличается от аналогов открытой регистрацией — подписчиков не проверяют на благонадежность, требуя рекомендаций, что сильно снижает планку для начинающих фишеров.

Фишинг-сервис Caffeine активно продвигается на хакерских форумах и с помощью сарафанного радио. Проведенное в Mandiant исследование выявило еще одно характерное отличие: среди шаблонов писем-приманок, предлагаемых подписчикам, числятся имитации посланий китайского сервис-провайдера NetEase и российского Mail.ru (правда, на английском языке).

По словам аналитиков, новая PhaaS-платформа имеет интуитивно-понятный интерфейс и предлагает множество инструментов для автоматизации фишинговых атак, а также хостинг на взломанных WordPress-сайтах. Сервис доступен по подписке (месяц, три месяца и полгода); расценки выше, чем у аналогов, но операторы фишинг-сервиса пытаются это компенсировать, предоставляя средства защиты от детектирования и анализа, а также услуги техподдержки.

Подписчики также могут воспользоваться опциями, в том числе такими:

  • кастомизация URL-схем, помогающая создавать динамические страницы с информацией, специфичной для жертв;
  • готовые страницы-редиректоры и финальные ловушки;
  • фильтрация трафика с блокировкой по IP-адресам, типу источника запроса (мобильное устройство, десктоп, прокси-сервер, Tor, файрвол), а также перенаправление ботов на выбранный сайт.

После создания аккаунта и входа в личный кабинет пользователя направляют на домашнюю страницу Caffeine с «магазином» инструментов для проведения фишинговых атак.

 

Задав основные параметры для своей кампании, оператор выполняет развертывание фишинг-пака. Последний пока позволяет создавать только поддельные страницы Microsoft 365.

 

Выбор шаблонов фишинговых писем более богат — в дефолтном наборе Caffeine присутствуют HTML-файлы для вставки текстов, написанных от имени сервисов Microsoft (включая файлообменник), AOL, Yahoo, китайских провайдеров и Mail.ru. Для отправки таких фальшивок PhaaS-сервис предлагает готовые утилиты на Python и PHP.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

С начала года у россиян украли 80 млрд ₽ — прогноз до 340 млрд к декабрю

Заместитель председателя правления Сбербанка в интервью ТАСС накануне Петербургского международного экономического форума оценил объём средств, похищенных у россиян с начала 2025 года, в 80 млрд рублей. По итогам всего года эта сумма может вырасти до 330–340 млрд рублей.

Как отметил Станислав Кузнецов, в оценку включён ущерб, понесённый даже теми, кто не сообщил о факте мошенничества. Он напомнил, что аналогичные данные Центробанка формируются на основе отчётности банков, а МВД — на основании заявлений от пострадавших граждан.

По словам Кузнецова, отсутствие единой, скоординированной и достоверной статистики серьёзно мешает эффективной борьбе с мошенниками. Он предложил создать единый координационный центр по кибербезопасности, который мог бы собирать данные и проводить продвинутую аналитику.

При этом, по данным Сбербанка, с начала года удалось предотвратить хищения на сумму 170 млрд рублей. Ещё 1,7 млрд были возвращены со счетов дропов — это больше, чем за весь 2024 год.

Кузнецов также сообщил, что ежедневно злоумышленники совершают около 6 млн звонков. Это столько же, сколько фиксировалось во второй половине 2024 года, однако изменилась структура атак: в 3,5 раза выросло число звонков через мессенджеры. Всё чаще для обзвона используются арендованные номера.

«Нам известно более 200 сообществ, занимающихся этим видом преступной деятельности. Уже более 105 тыс. человек передали свои аккаунты в аренду, и 80% из них — несовершеннолетние. С этих аккаунтов рассылаются сообщения по спискам контактов или совершаются звонки, в том числе с использованием дипфейков», — рассказал Кузнецов.

По его словам, сегодня преобладают две ключевые схемы атак. Первая — имитация взлома аккаунта на портале Госуслуг. Жертве звонит «сотрудник правоохранительных органов» и под угрозой возбуждения уголовного дела требует перевести деньги на «безопасный счёт». Вторая схема основана на перехвате данных банковской карты с помощью NFC и программных зловредов SuperCard и NGate.

Для снижения масштабов мошенничества, по мнению Кузнецова, необходимо резко ограничить использование симбоксов. Через такие устройства проходит до 90% фальшивых звонков. Он предлагает ввести лицензирование симбоксов и уголовную ответственность за незаконную терминацию трафика. Также необходимо навести порядок с продажей «серых» сим-карт, которые по-прежнему легко купить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru