Платформа Robin Banks "фішинг як послуга" (PhaaS) повернулася для крадіжки банківських рахунків.
Платформа Robin Banks "фішинг як послуга" (PhaaS) знову запрацювала з інфраструктурою, розміщеною російською інтернет-компанією, яка пропонує захист від розподілених атак типу "відмова в обслуговуванні" (DDoS).
Ще в липні 2022 року дослідники IronNet викрили платформу як дуже загрозливий фішинговий сервіс, націлений на Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Santander, Lloyds Bank і Commonwealth Bank. Відтоді Робін Бенкс перебував у збої в роботі
Cloudflare негайно внесла в чорний список інтерфейс і серверну частину платформи, раптово зупинивши поточні фішингові кампанії від кіберзлочинців, які сплачують підписку за використання платформи PhaaS.
Новий звіт IronNet попереджає про повернення Робіна Бенкса та висвітлює заходи, вжиті його операторами, щоб краще приховати та захистити платформу від дослідників.
Щоб повернути свої послуги онлайн, оператори Robin Bank звернулися до DDoS-Guard, російського інтернет-провайдера з довгою історією суперечливих ділових обмінів, декотрі з його клієнтів були Hamas, Parler, HKLeaks і, нещодавно, Kiwi Farms.
Робін Бенкс тепер додав двофакторну автентифікацію для облікових записів клієнтів, щоб сторонні особи не могли отримати доступ до фішингової панелі
Крім того, усі обговорення між основними адміністраторами тепер відбуваються через приватний канал Telegram.
Однією з нових функцій, яку аналітики IronNet виявили в Робіні Бенксі, є використання «Adspect», стороннього маскувача, фільтра ботів і відстеження реклами.
Платформи PhaaS використовують такі інструменти, як Adspect, щоб спрямовувати дійсні цілі на фішингові сайти, одночасно перенаправляючи сканери та небажаний трафік на доброякісні веб-сайти, таким чином уникаючи виявлення.
Розробники Robin Banks також реалізували зворотний проксі-сервер «Evilginx2» для атак «супротивник посередині» (AiTM) і викрадають файли cookie, що містять маркери автентифікації.
Evilginx2 — це інструмент зворотного проксі-сервера, який встановлює зв’язок між жертвою та сервером справжньої служби, пересилаючи запити на вхід та облікові дані та захоплюючи файли cookie сеансу під час передавання.
Це допомагає учасникам фішингу обійти механізм MFA, оскільки вони можуть використовувати захоплені файли cookie для входу в обліковий запис, ніби вони є власником.
Робін Бенкс продає цю нову функцію обходу MFA окремо та рекламує, що вона працює з «філлетами» Google, Yahoo та Outlook.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada