เมนู

Robin Banks Phishing Service

robin full

แพลตฟอร์ม phishing-as-a-service (PhaaS) ที่รู้จักกันในชื่อ Robin Banks ได้ย้ายการโครงสร้างพื้นฐานการโจมตีไปยัง DDoS-Guard ซึ่งเป็นผู้ให้บริการโฮลติ้งของประเทศรัสเซีย

8 พฤศจิกายน 2565

บริษัทรักษาความปลอดภัยทางไซเบอร์ IronNet ได้ออกมารายงานถึงการเปลี่ยนแปลงที่สำคัญหลังจาก Cloudflare ได้ทำการแยกโครงสร้างพื้นฐานฟิชชิ่งของ Robin Banks ออกส่งผลให้การทำงานต่างๆ ต้องหยุดชะงักลงเป็นเวลาหลายวัน

ในช่วงเดือนกรกฎาคม 2565 Robin Banks ได้เปิดเผยความสามารถของแพลตฟอร์มที่ใช้ในการฟิชชิ่งแบบสำเร็จรูปให้แก่ผู้ไม่หวังดี ส่งผลให้สามารถขโมยข้อมูลทางการเงินของลูกค้า และบริการออนไลน์อื่นๆได้ นอกจากนี้ยังพบว่ามีการให้ผู้ใช้ป้อนข้อมูลบัญชีผู้ใช้งานของ Google และ Microsoft ในหน้า Landing Page ที่ถูกสร้างขึ้น เพื่อเป็นการเจรจาในเรื่องของค่าเสียหายต่างๆ หลังถูกจารกรรม และโจมตีด้วยแรนซัมแวร์ ส่งผลให้การตัดสินใจของ Cloudflare ในการบล็อคโครงสร้างพื้นฐานหลังที่ได้เปิดเผยสู่สาธารณะทำให้ Robin Banks ได้ทำการย้ายการใช้งานในส่วนของ frontend และ backend ไปไว้ยัง DDoS-Guard

แต่สิ่งที่น่าสนใจที่สุดคือฟังก์ชันในการขโมยคุกกี้ ซึ่งมีให้บริการในราคา 1,500$ ต่อเดือน

ซึ่งทำได้โดยการนำเอาโค้ดจาก evilginx2 กลับมาใช้ใหม่อีกครั้ง ซึ่งเป็นเฟรมเวิร์คการโจมตีแบบโอเพนซอร์สของ Adversary-in-the-middle (AiTM) ที่ใช้ขโมยข้อมูลประจำตัวละคุกกี้จาก Google, Yahoo และ Microsoft Outlook แม้แต่ในบัญชีที่เปิดใช้งาน Multi-factor authentication (MFA)

Robin Banks ได้กำหนดมาตราการความปลอดภัยใหม่ ให้ลูกค้าหรือผู้ใช้งานต้องเปิดใช้งาน two-factor authentication (2FA) เพื่อดูข้อมูลที่ถูกขโมยผ่านการให้บริการ หรืออีกวิธีหนึ่งคือการรับข้อมูลผ่าน Telegram bot และคุณลักษณะเด่นอีกหนึ่งอย่างคือการใช้  Adspect ซึ่งเป็นบริการตรวจจับการฉ้อโกง หรือโฆษณาหลอกลวงที่ทำการเปลี่ยนเส้นทางผู้ใช้งานไปยังเว็บไซต์ที่ถูกสร้างขึ้น

การค้นพบครั้งนี้เป็นบริการล่าสุดของ PhaaS ที่เกิดขึ้นในการโจมตี รวมถึง Frappo, EvilProxy และ Caffeine ช่วยให้ผู้ไม่หวังดีสามารถเข้าถึงเครื่องมือต่างๆ เหล่านี้ได้ ยิ่งไปกว่านั้นในการปรับปรุงในครั้งนี้ ยังแสดงให้เห็นถึงความต้องการที่เพิ่มขึ้นของผู้โจมตีในการใช้วิธีการต่างๆ เช่น AiTM และ prompt bombing (aka MFA fatigue) ที่ทาง Uber ใช้หลีกเลี่ยงมาตราการรักษาความปลอดภัย และการเข้าถึงเบื้องต้น

ท้ายที่สุดโครงสร้างพื้นฐานของ Robin Banks จะอาศัยรหัสโอเพนซอร์ส และเครื่องมือต่างๆ ที่ช่วยลดอุปสรรคในการเข้าใช้งาน ไม่เพียงแต่การโจมตีแบบฟิชชิ่งเท่านั้น แต่ยังรวมถึงการสร้าง PhaaS แพลตฟอร์มสำหรับให้ผู้อื่นใช้อีกด้วย