Robin Banks Phishing Service
8 พฤศจิกายน 2565
บริษัทรักษาความปลอดภัยทางไซเบอร์ IronNet ได้ออกมารายงานถึงการเปลี่ยนแปลงที่สำคัญหลังจาก Cloudflare ได้ทำการแยกโครงสร้างพื้นฐานฟิชชิ่งของ Robin Banks ออกส่งผลให้การทำงานต่างๆ ต้องหยุดชะงักลงเป็นเวลาหลายวัน
ในช่วงเดือนกรกฎาคม 2565 Robin Banks ได้เปิดเผยความสามารถของแพลตฟอร์มที่ใช้ในการฟิชชิ่งแบบสำเร็จรูปให้แก่ผู้ไม่หวังดี ส่งผลให้สามารถขโมยข้อมูลทางการเงินของลูกค้า และบริการออนไลน์อื่นๆได้ นอกจากนี้ยังพบว่ามีการให้ผู้ใช้ป้อนข้อมูลบัญชีผู้ใช้งานของ Google และ Microsoft ในหน้า Landing Page ที่ถูกสร้างขึ้น เพื่อเป็นการเจรจาในเรื่องของค่าเสียหายต่างๆ หลังถูกจารกรรม และโจมตีด้วยแรนซัมแวร์ ส่งผลให้การตัดสินใจของ Cloudflare ในการบล็อคโครงสร้างพื้นฐานหลังที่ได้เปิดเผยสู่สาธารณะทำให้ Robin Banks ได้ทำการย้ายการใช้งานในส่วนของ frontend และ backend ไปไว้ยัง DDoS-Guard
แต่สิ่งที่น่าสนใจที่สุดคือฟังก์ชันในการขโมยคุกกี้ ซึ่งมีให้บริการในราคา 1,500$ ต่อเดือน
ซึ่งทำได้โดยการนำเอาโค้ดจาก evilginx2 กลับมาใช้ใหม่อีกครั้ง ซึ่งเป็นเฟรมเวิร์คการโจมตีแบบโอเพนซอร์สของ Adversary-in-the-middle (AiTM) ที่ใช้ขโมยข้อมูลประจำตัวละคุกกี้จาก Google, Yahoo และ Microsoft Outlook แม้แต่ในบัญชีที่เปิดใช้งาน Multi-factor authentication (MFA)
Robin Banks ได้กำหนดมาตราการความปลอดภัยใหม่ ให้ลูกค้าหรือผู้ใช้งานต้องเปิดใช้งาน two-factor authentication (2FA) เพื่อดูข้อมูลที่ถูกขโมยผ่านการให้บริการ หรืออีกวิธีหนึ่งคือการรับข้อมูลผ่าน Telegram bot และคุณลักษณะเด่นอีกหนึ่งอย่างคือการใช้ Adspect ซึ่งเป็นบริการตรวจจับการฉ้อโกง หรือโฆษณาหลอกลวงที่ทำการเปลี่ยนเส้นทางผู้ใช้งานไปยังเว็บไซต์ที่ถูกสร้างขึ้น
การค้นพบครั้งนี้เป็นบริการล่าสุดของ PhaaS ที่เกิดขึ้นในการโจมตี รวมถึง Frappo, EvilProxy และ Caffeine ช่วยให้ผู้ไม่หวังดีสามารถเข้าถึงเครื่องมือต่างๆ เหล่านี้ได้ ยิ่งไปกว่านั้นในการปรับปรุงในครั้งนี้ ยังแสดงให้เห็นถึงความต้องการที่เพิ่มขึ้นของผู้โจมตีในการใช้วิธีการต่างๆ เช่น AiTM และ prompt bombing (aka MFA fatigue) ที่ทาง Uber ใช้หลีกเลี่ยงมาตราการรักษาความปลอดภัย และการเข้าถึงเบื้องต้น
ท้ายที่สุดโครงสร้างพื้นฐานของ Robin Banks จะอาศัยรหัสโอเพนซอร์ส และเครื่องมือต่างๆ ที่ช่วยลดอุปสรรคในการเข้าใช้งาน ไม่เพียงแต่การโจมตีแบบฟิชชิ่งเท่านั้น แต่ยังรวมถึงการสร้าง PhaaS แพลตฟอร์มสำหรับให้ผู้อื่นใช้อีกด้วย
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา