Phoenix System PaaS
A Group-IB a Phoenix System Phishing-as-a-Service platform elemzi, amely iparosított módon támogat tömeges smishing kampányokat, amelyek több régiót (APAC, Európa, LATAM, MEA) lefednek, és elsősorban pénzügyi, telekommunikációs és logisztikai szervezeteket használnak ki. A támadások két domináns pszichológiai megtévesztési mintára épülnek, jutalompont jellegű csalások és sikertelen kézbesítés témájú üzenetek. Bár ezek különbözőnek tűnnek, a kutatás kimutatta, hogy közös infrastruktúrát és TTP-ket használnak, ami egyetlen backend rendszerhez, a Phoenix Systemhez köti őket.
A Phoenix System egy központosított adminisztrációs platform, amely valós idejű áldozatkövetést, geofencinget és dinamikus kampánykezelést biztosít az affiliált támadók számára. A rendszer képes IP-alapú szűrésre és célzott ország-specifikus phishing oldalak kiszolgálására, ami jelentősen növeli a támadások hatékonyságát.
A kezdeti fázisban hagyományos SMS-küldést használnak, később azonban fejlettebb módszerekre váltanak, például hamis bázisállomások használatára, amellyel képesek a szolgáltatói szűrést megkerülni, és az üzeneteket legitim márkák nevében megjeleníteni. Az áldozati folyamat során a felhasználókat hamis weboldalakra irányítják, ahol több lépcsőben történik az adatgyűjtés. Először alapadatokat kérnek, telefonszám vagy cím, majd pénzügyi adatokat, bankkártya, fizetési adatok egy kisebb díj vagy szolgáltatás ürügyén.
A kampány mérete ipari jellegű, több mint 2500 domain és legalább 70 szervezet impersonációja köthető hozzá, ami egy skálázható, moduláris phishing ökoszisztémára utal.
