Telegram日益受到世界各地用户的欢迎。不过,普通用户并非唯一认识到这款消息应用程序便捷性的人,网络犯罪分子也已把它变成了暗网的一个分支,致使Telegram上的恶意活动自2021年底以来便持续飙升。
这项服务尤其受到网络钓鱼者的青睐。他们已经熟练地使用Telegram来自动化他们的活动并提供各种服务——从销售网络钓鱼工具包到帮助建立自定义网络钓鱼活动——给所有愿意付费的人。
为了推销他们的“商品”,网络钓鱼者甚至还创建了Telegram频道,通过这些频道教育他们的观众有关网络钓鱼的知识,并通过诸如“你更喜欢哪种类型的个人数据?”这样的投票来娱乐订阅者。这些频道的链接通过YouTube、GitHub和他们制作的网络钓鱼工具包传播。
近日,卡巴斯基实验室发布了《Telegram网络钓鱼市场研究报告》,介绍了Telegram上提供的各种网络钓鱼服务,以及它们的详细信息和定价。
Telegram黑市:服务类型
通过检查检测到的钓鱼者Telegram渠道后,卡巴斯基们将他们推广的服务分为付费和免费两种类型:
- 为有抱负的钓鱼者提供免费内容;
- 使用Telegram机器人的自动网络钓鱼;
功能强大且可配置的Telegram机器人,可以帮助私人用户和企业自动化许多日常工作流程,例如按时间表搜索和检索信息,回答客户的常见问题,设置提醒等等。恶意行为者也可以使用Telegram机器人自动化非法活动,例如生成钓鱼页面或收集用户数据。
使用Telegram机器人创建虚假网站的过程通常包括以下步骤:
- 想要成为网络钓鱼者的人加入机器人创造者的频道;
- 一般来说,一旦启动,机器人就会提供语言选择。在下面的例子中,机器人会说英语和阿拉伯语。
![图片[1]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370098_6437abf280eaf5967a4e5.jpg!small)
【启动一个Telegram钓鱼机器人】
- 机器人允许用户创建自己的新机器人,并与主机器人共享令牌。第二个机器人的目的是捕捉那些点击钓鱼链接并试图登录虚假网站的用户的数据。在Telegram上设置新机器人是新手骗子的工作,但这个过程也是自动化的,并不复杂。
![图片[2]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370254_6437ac8e06bbd39f5469c.jpg!small)
【钓鱼机器人要求用户建立一个新的机器人并共享令牌】
- 一旦用户将令牌提供给第一个机器人,它就会生成一系列指向同一域中托管的虚假网站的链接。这些网站可能模仿各种服务,如《绝地求生》、Facebook、PayPal等。
![图片[3]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370279_6437aca7b67b19e6f0fb1.jpg!small)
【同一域中的现成页面列表】
分发链接是想要钓鱼的人在没有机器人帮助的情况下必须做的事情。如果一个访问者在虚假页面上输入他们的凭证,一个通知将被发送到聊天机器人。该通知通常会包含钓鱼链接、受害者的凭据、他们登录的国家名称、国家代码和所使用设备的IP地址。
【钓鱼者收到的带有被盗数据的消息】
生成钓鱼页面的机器人可能略有不同。例如,在生成钓鱼链接之前,一个特定的机器人会提供一个服务选项来模拟。后者通常是谷歌主页或钓鱼页面所模仿的服务的主页。一旦输入URL,机器人就会生成几个针对该服务用户的诈骗链接。在这种情况下,受害者的凭证将被直接发送到网络钓鱼机器人。
![图片[4]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370372_6437ad0435b5d7fc67494.jpg!small)
【机器人建议的服务列表】
比如,受害者点击了一条承诺在TikTok上有1000个赞的消息中的链接,就会看到一个看起来像真的登录表单。除了表单之外,页面通常不包含任何内容。我们在下面的截图中填写了登录名和密码字段。
![图片[5]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370384_6437ad10acc9dd5d096ec.jpg!small)
【由钓鱼机器人生成的假TikTok登录页面】
从社会工程的角度来看,这是一个相当原始的基本网络钓鱼工具包的产品。当骗子从Telegram机器人请求钓鱼页面时,它会将请求连同所有必需的数据转发给一个实用程序,该实用程序从预定义的包中组装页面并返回超链接。为了将窃取的数据转发给机器人,网络钓鱼套件包括一个脚本,其中将插入机器人接收用户凭证的令牌、Telegram机器人聊天标识符和输入凭证后重定向用户的URL。有些脚本可能缺少URL字段。
![图片[6]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370399_6437ad1faa92d43458f88.png!small)
【将被盗数据转发到Telegram机器人的脚本】
免费钓鱼套件和用户个人数据
骗子运营的Telegram频道有时会发布一些看起来异常慷慨的报价,例如,针对大量全球和本地品牌的现成网络钓鱼工具包。
![图片[7]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370535_6437ada71bf5b15da2b07.jpg!small)
【发布在Telegram诈骗频道的钓鱼套件广告】
![图片[8]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370544_6437adb0bda0550b1a6e0.png!small)
【一个免费的钓鱼工具包内容】
钓鱼者还将窃取的个人数据分享给他们的订阅者,并标记上是否经过验证的信息。下面截图中的“黄灯数据”(Yellow light data)表示“数据质量未知”。
![图片[9]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370557_6437adbd9ee974b9f5ad0.png!small)
【包含美国和俄罗斯用户免费凭据的文件】
为什么骗子如此慷慨地与他人分享有价值的数据,而不是利用这些数据为自己谋利?其中一个原因是,骗子乐意向Telegram用户分发的任何免费内容或手册都是缺乏经验的钓鱼者的诱饵。新手们可以体验一下网络钓鱼工具的功能,完成他们的第一个骗局,并希望获得更多,届时他们将获得付费内容。
另一个原因是招聘无薪员工。如上所述,网络钓鱼机器人和工具包的创建者可以访问使用他们制作的工具收集的数据。为了吸引更多的受众,诈骗运营者为他们的服务做广告,承诺教其他人如何通过网络钓鱼来赚大钱。
![图片[10]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370570_6437adca8e265f60172e1.jpg!small)
【提供钓鱼内容的Telegram频道广告】
付费服务
除了免费的网络钓鱼套件和机器人驱动的骗局外,Telegram骗子还提供付费的网络钓鱼页面和数据,以及网络钓鱼即服务(PhaaS)订阅服务。该服务可能包括钓鱼工具访问权限,以及初学者指南和技术支持。
付费的网络钓鱼和诈骗网页
恶意行为者还出售“高级”网络钓鱼和诈骗页面。与流行网站的原始副本不同,这些服务包括从零开始构建的页面,其中包含一系列用于生成此类页面的高级功能或工具。例如,“付费”页面可能包含社会工程的元素,比如吸引人的设计、巨额收入的承诺、反检测系统等等。
![图片[11]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370587_6437addb2fe6cec7f13b5.png!small)
【Telegram上提供的付费诈骗页面】
在下面的截图中,卖家承诺他们的每个“项目”都有反机器人系统、URL加密、地理封锁和其他攻击者用得到的功能。卖家还提供定制的钓鱼页面,可以包括客户所要求的任何组件。
![图片[12]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370622_6437adfe487c8cafb7696.png!small)
【卖方对高级钓鱼页面功能的描述】
在仔细研究这些项目后,我们发现它们确实包含阻止网络爬虫和反钓鱼技术的脚本。因此,这些项目本质上是复杂或高级的网络钓鱼工具包。
![图片[13]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370631_6437ae0716ee1ea7b625c.png!small)
【带有反机器人系统的网络钓鱼工具包的内容】
“高级页面”供应商还会定期更新他们的反机器人系统,这样钓鱼内容就不会被发现,从而实现可持续性利用。
![图片[14]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370643_6437ae1315fa360bab61f.png!small)
【钓鱼页面供应商宣称反机器人系统已经更新】
这种虚假页面的价格各不相同,一些供应商要价10美元一份,而另一些供应商要价50美元一份。一个包含不太常见功能的软件包,例如3-D安全支持,以及帮助配置一个虚假网站,价格可能高达300美元。
![图片[15]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370653_6437ae1dadcc33a383adf.png!small)
【包含3-D安全支持的软件包售价280美元】
出售用户个人资料
通过网络钓鱼技术获得的网上银行证书也经常被出售。与上面提到的免费数据不同,这些数据已经被检查过,甚至帐户余额也已经提取出来。余额越高,骗子通常会为证书收取越多的钱。
例如,同一个Telegram频道为一个拥有1400美元的银行账户要价110美元,而访问一个余额为4.9万美元的账户则需要700美元。
![图片[16]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370701_6437ae4d35826ce3c75d3.png!small)
【账户余额1,400美元要价110美元】
![图片[17]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370760_6437ae882fe4dd28d0805.png!small)
【账户余额49,000美元要价700美元】
网络钓鱼即服务(PhaaS)
除了一次性销售网络钓鱼工具和用户数据外,骗子还使用Telegram渠道销售包括客户支持在内的一系列订阅服务。支持包括定期为钓鱼工具、反检测系统和钓鱼工具包生成的链接提供更新。
OTP(一次性密码)机器人是另一种可通过订阅获得的服务。合法服务使用一次性密码作为第二个身份验证因素。如今,许多组织强制执行双因素身份验证(2FA)要求,这使得仅凭登录名和密码就无法劫持帐户。钓鱼者使用OTP机器人试图入侵2FA。
这些机器人会给用户打电话,伪装成网络钓鱼者试图入侵的账户的维护机构,说服他们在手机上输入一个2FA代码。呼叫是全自动的。然后机器人在必需的字段中输入代码,让网络钓鱼者访问该帐户。
![图片[18]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370774_6437ae968b14f0da728f7.jpg!small)
【OTP机器人功能和好处的列表】
据一位机器人供应商透露,每周订阅不限次数的电话需要花费130美元,而每月订阅包括机器人定制的费用高达500美元。
![图片[19]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370785_6437aea1043759c8badca.jpg!small)
【我们与供应商就OTP机器人定价进行了交谈】
另一种OTP机器人是按分钟付费、预付费的。根据目的地不同,起价为每分钟0.15美元。该机器人可以记录呼叫并存储设置,如受害者的电话号码、姓名等。
![图片[20]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370807_6437aeb750f8cff474ab4.png!small)
【OTP机器人接口:建立通话需要受害人的姓名和电话号码,服务名称和语言】
如果客户与机器人创造者分享这些信息,以及显示受害者账号、余额和其他详细信息的截图,可能还会获得少量奖励:两个单位的信息5美元,三个或更多单位的信息10美元。
一些PhaaS供应商非常重视客户的信任。在下面的截图中,你可以看到通过付费工具获得的所有数据都经过了可靠的加密,这样供应商和任何第三方都无法读取这些数据。所有这些供应商都希望他们的客户保持忠诚。
![图片[21]-Telegram网络钓鱼市场剖析-NGC660安全实验室](https://image.3001.net/images/20230413/1681370826_6437aeca39e1108c1ce10.png!small)
【PhaaS供应商向客户解释他们所有的数据都是可靠加密的】
结语
过去,想要实施网络钓鱼的人需要找到进入暗网的方法,研究那里的论坛,并做许多其他准备才能开始行动。一旦恶意攻击者迁移到Telegram,加入网络钓鱼社区的门槛就会降低,他们现在正在这个流行的消息服务中分享见解和知识,而且这一切通常是免费的。
即使是最懒、最缺钱的人也可以使用频道所有者提供的Telegram机器人来生成钓鱼页面,并获取从受害者那里窃取的数据。一些攻击者还会上传带有数据的档案供任何人使用。有抱负的网络钓鱼者如果希望生成更丰富的内容,可以下载针对广泛组织的网络钓鱼工具包。
骗子使用一系列免费服务来推广付费服务。他们还可能操纵新来者使用他们的免费网络钓鱼工具包和机器人,这些工具可能会与创建者共享窃取的数据。
更有偿付能力的用户愿意为带有地理屏蔽功能和定期更新的反机器人系统的钓鱼页面付费,这些反机器人系统比使用基本的钓鱼套件和机器人生成的网页更难检测,售价从10美元到300美元不等,具体取决于功能集。
原文链接:
本文作者:晶颜123
转载自FreeBuf.COM
![表情[chi]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/chi.gif)
![表情[xiaojiujie]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/xiaojiujie.gif)
![表情[weiqu]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/weiqu.gif)
![表情[qinqin]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/qinqin.gif)
![表情[leiben]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/leiben.gif)
![表情[baiyan]-NGC660安全实验室](http://ngc660.cn/wp-content/themes/zibll/img/smilies/baiyan.gif)
请登录后查看评论内容