[[425444]]

 內(nèi)容提要：

• BulletProofLink 是地下網(wǎng)絡(luò)犯罪的“網(wǎng)絡(luò)釣魚(yú)即服務(wù)”門(mén)戶(hù);

• BulletProofLink 運(yùn)營(yíng)商為網(wǎng)絡(luò)釣魚(yú)活動(dòng)提供網(wǎng)絡(luò)釣魚(yú)工具包和“開(kāi)箱即用”的托管服務(wù);

• BulletProofLink 商店為“客戶(hù)”提供對(duì)120多個(gè)網(wǎng)絡(luò)釣魚(yú)模板的訪(fǎng)問(wèn)權(quán)限;

近日，微軟安全團(tuán)隊(duì)表示，他們發(fā)現(xiàn)了一項(xiàng)大規(guī)模操作：利用類(lèi)似托管的基礎(chǔ)設(shè)施向網(wǎng)絡(luò)犯罪團(tuán)伙提供釣魚(yú)服務(wù)。微軟稱(chēng)這項(xiàng)服務(wù)為“網(wǎng)絡(luò)釣魚(yú)即服務(wù)”(Phishing-as-a-Service，簡(jiǎn)稱(chēng)PHaaS)模式。

據(jù)悉，該服務(wù)運(yùn)營(yíng)商被稱(chēng)為BulletProofLink、BulletProftLink或Anthrax，目前在地下網(wǎng)絡(luò)犯罪論壇上進(jìn)行廣告宣傳。

該服務(wù)是在“網(wǎng)絡(luò)釣魚(yú)工具包”——模仿已知公司的登錄形式的網(wǎng)絡(luò)釣魚(yú)頁(yè)面和模板的集合——基礎(chǔ)上演變而來(lái)的。

研究人員表示，BulletProofLink還通過(guò)提供內(nèi)置的托管和電子郵件發(fā)送服務(wù)，將其提升到一個(gè)全新的水平。

客戶(hù)通過(guò)支付800美元在BulletProofLink門(mén)戶(hù)上注冊(cè)，BulletProofLink運(yùn)營(yíng)商就會(huì)為他們處理其他一切事情。這些服務(wù)包括設(shè)置一個(gè)網(wǎng)頁(yè)來(lái)托管釣魚(yú)網(wǎng)站、安裝釣魚(yú)模板本身、為釣魚(yú)網(wǎng)站配置域名、向目標(biāo)受害者發(fā)送實(shí)際的釣魚(yú)郵件、從攻擊中收集憑證，然后在周末向“付費(fèi)客戶(hù)”交付被盜的登錄信息。

如果犯罪團(tuán)伙想要改變他們的網(wǎng)絡(luò)釣魚(yú)模板，BulletProofLink團(tuán)伙還經(jīng)營(yíng)著一個(gè)單獨(dú)的商店，威脅行為者可以在那里購(gòu)買(mǎi)新模板用于他們的攻擊，每個(gè)新模板的價(jià)格從80美元到100美元不等。

據(jù)悉，BulletProofLink商店中提供大約120種不同的網(wǎng)絡(luò)釣魚(yú)模板。此外，該站點(diǎn)還提供教程以幫助客戶(hù)使用該服務(wù)。

但微軟研究人員表示，他們還發(fā)現(xiàn)，該服務(wù)還通過(guò)保留所有收集到的憑證的副本來(lái)偷竊自己的客戶(hù)，相信該組織稍后會(huì)通過(guò)在地下市場(chǎng)出售這些憑證來(lái)盈利。

微軟將整個(gè)操作描述為“技術(shù)演進(jìn)”，該組織經(jīng)常使用被黑網(wǎng)站來(lái)托管其網(wǎng)絡(luò)釣魚(yú)頁(yè)面。在某些情況下，安全團(tuán)隊(duì)還觀察到BulletProofLink團(tuán)伙破壞了被黑網(wǎng)站的DNS記錄，以便在受信任的網(wǎng)站上生成子域來(lái)承載釣魚(yú)網(wǎng)頁(yè)。

微軟表示，“在研究網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)，我們發(fā)現(xiàn)了一項(xiàng)活動(dòng)，該活動(dòng)使用了大量新創(chuàng)建和獨(dú)特的子域——單次運(yùn)行超過(guò)300000個(gè)?？上攵狟ulletProofLink‘網(wǎng)絡(luò)釣魚(yú)即服務(wù)’的規(guī)模有多巨大。”