预防一种新的网络钓鱼即服务—Frappo

近期有一项名为Frappo的新型地下网络犯罪服务，以网络钓鱼即服务（PHaaS）的形式，使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面，这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。

这项服务最早于2021年3月22日左右出现在暗网上，之后有过重大升级，最后一次更新是在2022年5月1日。除了暗网，Frappo也积极利用Telegram进行宣传，拥有一个将近2000名活跃成员的群组，网络犯罪分子们在这就各种成功的攻击经验展开交流。

Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力，具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划，就像为合法企业提供基于SaaS服务的平台一样，Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本，并在更大范围内得到运用。

值得注意的是，网络钓鱼页面的部署过程完全自动化，Frappo利用一个预先配置的Docker容器和一个安全通道，通过API收集受损的凭证。正确配置Frappo后，将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证，其中包含有关每个受害者的详细信息，例如 IP 地址、用户名、密码等。

根据筑人科技的观察，这些网络钓鱼页面的逼真度很高，其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明，网络犯罪分子一直在利用先进的工具和技术来发动攻击，数字身份信息的保护已成为在线网络安全的关键。

随着通过电子邮件进行通信成为世界上大部分企业的日常，骗子们也越来越多地利用网络钓鱼技术来攻击企业用户。这些技术可以让他们窃取证书，用于BEC诈骗、社会工程或窃取企业机密。
在过去，网络钓鱼活动要求攻击者具备一定的技术知识，以便利用网络钓鱼工具包、入侵网站来托管用于窃取证书的网络钓鱼登陆页面，以及创建真实的垃圾邮件活动。
为了克服这一进入障碍，攻击者正在开发新的犯罪网站，提供一种“ Phishing-as-a-Service”的服务，其中包括网络钓鱼工具包，并以非常低的成本为网络钓鱼表格提供托管服务。这使得几乎没有技术知识的潜在罪犯可以很容易地开始他们自己的phishin活动。

Phishing-as-a-Service驱动了Phishing的增长
新的phishin -as-a- service (PhaaS)网站正在创建中，犯罪分子不用自己开发钓鱼登录页面了，直接选择该网站上的模板即可自动生成一个被托管的钓鱼页面。

可用的钓鱼模板包括Sharepoint、Office 365、LinkedIn、OneDrive、谷歌、Adobe、Dropbox、DocuSign等等。这些模板的价格从30美元到80美元不等，包括一个月的页面托管费



基于云安全提供商Cyren的一份新报告，这些新服务使得正在创建的新型网络钓鱼活动快速增长。
报告称：“目前面临的现实是,我们观察到，越来越多的攻击者以比过去更少的精力和更低的成本，进行越来越多的规避性网络钓鱼活动。因为技术成熟的网络钓鱼攻击开发者已经采用了SaaS商业模式，使得即使是最业余的犯罪分子，也能以高度的真实性和嵌入的规避策略攻击目标网站。”

例如，Cyren的安全研究员Magni Sigurdsson与Bleeping Computer分享了一款PhaaS产品：“我们是一家私人服务提供商，为托管垃圾邮件页面提供客户端解决方案。我们所做的是保证我们的客户钓鱼链接可用1个月，我们为客户提供3个链接，客户可以使用两个链接作为备份。”
使用PhaaS服务，骗子只需要专注于垃圾邮件，不再需要担心设置钓鱼工具包和黑客站点来托管他们的钓鱼登录页面了。
为了更容易地开展垃圾邮件活动，PhaaS服务还销售电子邮件列表，也就是他们所谓的“线索”。





例如，上面所示的“FRA France Leads”被描述为包含“150万+ France Leads”，它们是“被验证过是真实的该地区的邮件”。

这些线索的定价并不容易获得，买家需要通过ICQ联系网站所有者来获得定价。
越来越先进的钓鱼技术和日益增加的规避方法
虽然“Phishing-as-a-Service”网站让钓鱼攻击不断增长，但安全软件在检测钓鱼活动方面变得更加敏锐。因此，攻击者不得不想出更创新的方法来让人们点击所附的链接，以逃避检测。

例如，我们最近看到了冒充邮件帐户删除通知、未发送邮件提示和虚假语音邮件消息的钓鱼活动。所有这些电子邮件的目的都是为了让用户点击所附的链接，该链接指向要求登录凭证的登录页面。




为了避开机器学习和安全软件的检测，网络钓鱼活动越来越多地使用规避技术。

据Cyren称，他们发现的87%的网络钓鱼活动，现在都在利用规避技术试图绕过检测。所使用的规避技术如下：
HTML字符编码：这种技术将钓鱼骗局的HTML编码为对自动扫描引擎来说是胡言乱语，但对web浏览器或电子邮件客户端来说是可读的。
内容加密：这种技术不是编码HTML，而是加密数据，然后在web浏览器中查看时使用JavaScript对数据进行解密。

检查阻塞：钓鱼工具将阻止各种IP地址、浏览器用户代理或引用访问登录页面。这是一个试图阻止自动系统使用的谷歌，反病毒引擎，或安全供应商正确读取页面。这通常是使用带有预构建签名的htaccess文件来完成的，该文件将某些访问者重定向到另一个站点，如下所示：

附件中的URL：电子邮件中不包含钓鱼登录页面URL，而是包含在其他服务上的附件中或附加到电子邮件中。

内容注入：这种技术使用合法但不安全的站点，其中包含一个脚本，可以将目标用户重定向到一个登录页面。

合法的云托管：钓鱼诈骗越来越多地使用合法的云服务提供商，如Azure来托管他们的登录页面。这样一来，登录页面就可以托管在windows.net等微软品牌的url上，从而使欺诈页面看起来合法。此外，这些页面由Microsoft拥有的证书保护。

这对于试图窃取Microsoft帐户、OneDrive、Outlook和Office 365等Microsoft服务凭据的登录页面尤其有用。


而这些技术似乎正在发挥作用。据报告显示，2019年第一季度，网络钓鱼活动增加了17%，25%的网络钓鱼邮件绕过了Office 365的安全系统，犯罪分子正在攫取大量利润。