Experții în securitate cibernetică au identificat recent o rețea PhaaS, cunoscută sub numele de "Smishing Triad", care a generat peste 136.000 de domenii noi începând cu ianuarie 2024. Deși înregistrarea domeniilor se face în Hong Kong, infrastructura de găzduire se bazează masiv pe servicii cloud din S.U.A. (AS13335), creând o falsă legitimitate.
Campania "Smishing Triad" a trecut la livrarea directă bazată pe numere de telefon (+63 Filipine și +1 S.U.A.), folosind mesaje de phishing adaptate, cu mare credibilitate. Operațiunea funcționează ca un ecosistem complex pe Telegram, cu roluri distincte: brokeri de date și servicii, vânzători de domenii, dezvoltatori de kituri de phishing și spammeri.
Rețeaua demonstrează o reziliență extraordinară prin decentralizare și rotirea rapidă a domeniilor de atac: 71% dintre domenii sunt active mai puțin de o săptămână. Aceste domenii sunt denumite special pentru a induce în eroare utilizatorii, imitând adrese legitime (ex: gov-addpayment.info). Deși mii de domenii rădăcină sunt implicate, o parte semnificativă din trafic se rutează prin clustere concentrate în rețeaua Cloudflare.
Sfaturi de Protectie
1. Ignorați și ștergeți imediat mesajele suspecte (Smishing).
Pasul 1 (Verificare Sursă): Telefon > Verificați codul de țară. Mesajele primite de la numere internaționale (+63, +1), în special cele cu solicitări urgente de plată sau de resetare a parolei, trebuie tratate ca fiind false.
Pasul 2 (Acțiune): Nu dați NICIODATĂ click pe linkuri, nu răspundeți la mesaje și nu apelați numărul expeditorului. Ștergeți mesajul imediat.
2. Verificați manual linkul înainte de a da click.
Pasul 1 (Inspecție URL): Mesaj Text > Dacă primiți un link, nu dați click. Deschideți un browser și introduceți adresa site-ului oficial (ex: www.banca.ro) manual.
Pasul 2 (Detectare Domenii False): Feriți-vă de URL-uri cu structuri suspecte sau cratime (ex: gov-addpayment.info, com-posewxts.top), care imită vizual domenii legitime.
3. Implementați Autentificarea Multifactorială (MFA) pe toate conturile.
Pasul 1 (Activare): Setări/Cont > Securitate/Confidentialitate > 2FA sau similar
Pasul 2: Activați MFA/2FA, de preferat utilizând aplicații de autentificare (ex: Google Authenticator), nu SMS-uri.
4. Blocați geolocațiile cunoscute ca surse de atac.
Pasi (Firewall/ESG): Reguli de Trafic > Restricționați accesul la serviciile critice (portaluri de login, VPN) din țări care nu sunt relevante pentru operațiunile companiei și care sunt cunoscute ca surse de Phishing (cum ar fi originile internaționale menționate în știre).
5. Monitorizați traficul de ieșire (Outbound) către Sisteme Autonome riscante.
Pasul 1 (Firewall/NTA): Politici de Rețea > Monitorizați traficul care se îndreaptă către sistemele autonome (AS) și subrețelele cunoscute ca fiind folosite de atacatori (ex: AS13335 pe 104.21.0.0/16).
Pasul 2 (Regulă): Implementați reguli de blocare sau alertare pentru orice comunicare către aceste infrastructuri.
6. Utilizați soluții de securitate bazate pe inteligență artificială (AI/ML).
Pasi (Soluție): Implementați un sistem de filtrare (Email Security Gateway sau NGFW) care folosește Machine Learning pentru a detecta domenii nou-înregistrate și cu cicluri de viață scurte, contracarând astfel rotația rapidă de domenii.
7. Rulați actualizări regulate ale sistemului de operare și ale software-ului.
Pasi (Actualizare): Sistem de Operare și Aplicații > Updates > Asigurați-vă că patch-urile critice sunt instalate imediat. Aceasta include actualizarea constantă a soft-urilor populare de arhivare (precum WinRAR), pentru a elimina vulnerabilitățile exploatate la livrarea malware-ului.
8. Consolidați securitatea DNS și CDN.
Pasul 1 (Monitorizare): Securitate DNS > Monitorizați și blocați interogările DNS către nameservere cunoscute ca fiind folosite de rețelele PhaaS.
Pasul 2 (Parteneriat): Lucrați cu furnizori de CDN (ex: Cloudflare) pentru a beneficia de protecție împotriva rutării traficului malițios prin clusterele lor.
9. Limitați și monitorizați privilegiile de acces (Zero Trust).
Pasul 1 (Politici): Implementați modelul Zero Trust. Presupuneți că orice utilizator sau dispozitiv poate fi compromis. Limitați accesul utilizatorilor doar la resursele strict necesare.
Pasul 2 (Audit): Auditați regulat permisiunile, mai ales pentru aplicațiile care necesită acces la date sensibile.
10. Instruiți personalul cu privire la tactici avansate de inginerie socială.
Pasi (Training de Conștientizare): Rulați simulări de Smishing (Smishing Triad folosește livrare prin număr de telefon) care folosesc limbaj tehnic și solicitări urgente (cum au observat cercetătorii) pentru a învăța angajații să recunoască mesajele sofisticate.
Pentru mai multe sfaturi de protectie și informații legate de securitatea cibernetică, vizitează regulat sigurantapenet.ro