I kit di phishing sono una raccolta di file (spesso HTML, CSS e PHP) che funzionano insieme per presentare una facciata convincente che si tratta di un sito reale a cui il target vuole accedere durante l’esecuzione della profilazione del target, della raccolta di credenziali e delle credenziali contemporaneamente l’esfiltrazione.
Gli sviluppatori di kit di phishing stanno realizzando kit più dinamici che possono modificare il marchio in base all’utente in modo che corrisponda al dominio di posta elettronica di destinazione invece di essere una pagina generica e statica. Altri stanno andando oltre e mostrano uno sfondo in tempo reale della pagina di accesso reale con la parte del kit per la raccolta delle credenziali sovrapposta. Altri ancora stanno aggiungendo la capacità di raccolta MFA per aggirare l’aumento delle protezioni MFA su account di valore.
Tutto al fine di vendere l’aspetto dell’ingegneria sociale e dare fiducia al target che stanno accedendo a un sito reale. Anche il phishing-as-a-Service è in aumento poiché riduce notevolmente la barriera all’ingresso, consentendo a un attore di minacce meno esperto di distribuire e gestire campagne di phishing su una scala che non è in grado di raggiungere.
I ricercatori di Proofpoint hanno osservato questa evoluzione dagli attori delle minacce che inviano migliaia di e-mail nella speranza che qualcuno, da qualche parte, faccia clic su un collegamento per attacchi mirati contro i portali di accesso dei dipendenti dell’azienda.
I kit di phishing possono anche raccogliere token Oauth e di autenticazione a più fattori (MFA) in tempo reale, inviandoli agli autori delle minacce affinché li utilizzino prima che scadano.
Sono set di file preconfezionati che contengono tutto il codice, la grafica e i file di configurazione da distribuire per creare una pagina di phishing e sono progettati per essere facili da distribuire e riutilizzabili. Di solito sono venduti come file zip e pronti per essere decompressi e distribuiti senza molte conoscenze o abilità tecniche “dietro le quinte”.
I kit di phishing raccolgono più credenziali degli utenti (nome utente e password) come: cose come lingua del browser, agente utente del browser, GeoIP del visitatore e risoluzione dello schermo
Alcuni siti Web, come la pagina di accesso per gli istituti finanziari, utilizzano questi parametri per decidere se eseguire l’autenticazione step-up, richiedendo all’utente di completare ulteriori problemi di sicurezza. Alcuni kit di phishing raccoglieranno anche token MFA per contrastare l’utilizzo dell’autenticazione a più fattori. Il phishing per credenziali valide e token MFA è spesso la prima fase di attacchi aggiuntivi, che vanno da varie forme di frode alla compromissione della posta elettronica aziendale o ransomware.
Questi kit vengono venduti, rubati, rivenduti, riutilizzati e altrimenti scambiati. Possono essere acquistati sia sul web di superficie che attraverso i mercati sotterranei e i canali di Telegram. Un singolo kit da distribuire tramite un provider PhaaS può costare tra $ 150 e $ 300 al mese o più a seconda dei servizi offerti dal provider PhaaS.
Il phishing non colpisce solo i consumatori o gli individui, ma può anche essere il punto d’appoggio di cui un attore di minacce ha bisogno per aggirare il perimetro aziendale rafforzato per essere in grado di rubare dati e eliminare ulteriori payload, inclusi ladri di informazioni e ransomware. Sebbene la formazione degli utenti riduca l’impatto complessivo, ci sarà sempre una percentuale di persone che sarà vittima della minaccia persistente e in evoluzione del phishing delle credenziali, conclude Proofpoint.
https://www.proofpoint.com/us/blog/threat-insight/have-money-latte-then-you-too-can-buy-phish-kit