Durante le indagini sugli attacchi di phishing, Microsoft ha scoperto un’operazione di phishing as a service (PhaaS) su larga scala chiamata BulletProofLink, che vende kit di phishing, modelli di posta elettronica, hosting e servizi automatizzati a un costo relativamente basso per effettuare attacchi e utilizza 300.000 sottodomini.
Con oltre 100 modelli di phishing disponibili che imitano marchi e servizi noti, l’operazione BulletProofLink è responsabile di molte delle campagne di phishing contro aziende. BulletProofLink (noto anche come BulletProftLink o Anthrax dai suoi operatori in vari siti Web, annunci pubblicitari e altri materiali promozionali) viene utilizzato da più gruppi di aggressori in modelli di business basati su abbonamento una tantum o mensili.
Gli operatori gestiscono più siti comprese le pagine di YouTube e Vimeo con annunci didattici e materiale promozionale su forum e altri siti, nonché uno store online in cui consentono ai propri clienti di registrarsi, accedere e pubblicizzare il proprio servizio in hosting per abbonamenti mensili.
Il gruppo vanta anche uno sconto di benvenuto del 10% sugli ordini dei clienti quando si iscrivono alla loro newsletter.
Gli operatori di BulletProofLink operano con un modello di business altamente flessibile che consente ai clienti di acquistare le pagine e “inviare” le e-mail da sé e controllare l’intero flusso di raccolta delle password registrando le proprie pagine di destinazione o utilizzare appieno il servizio attraverso i collegamenti ospitati di BulletProofLink come sito finale in cui le potenziali vittime digitano le proprie credenziali.
I modelli sono progettati per eludere il rilevamento durante il phishing con successo per le credenziali ma possono variare in base alla singola parte acquirente.
Sul loro sito sono elencate una serie di servizi corredate delle relative tariffe. Il servizio mensile costa fino a $ 800, mentre altri servizi costano circa $ 50 dollari per un collegamento di hosting una tantum. I ricercatori hanno anche scoperto che Bitcoin è un metodo di pagamento comune accettato sul sito BulletProofLink.
I clienti possono comunicare con gli operatori tramite gli account del sito ma anche attraverso Skype, ICQ, forum e chat room e, proprio come una vera azienda di software dedicata ai propri clienti, gli operatori forniscono servizi di assistenza clienti.
Il servizio di hosting include una spedizione settimanale del registro alle parti acquirenti, inviata manualmente tramite ICQ o e-mail. Le credenziali vengono ricevute nella pagina del modello iniziale e quindi inviate ai siti di elaborazione delle password di proprietà dell’operatore.
“Al momento di questo rapporto, BulletProofLink continua a gestire campagne di phishing attive, con grandi volumi di reindirizzamenti ai loro link di elaborazione delle password da fornitori di web hosting legittimi”, conclude Microsoft.