Robin Banks: новая PhaaS-платформа на киберпреступной арене

Исследователи IronNet сообщили о запуске новой платформы, предоставляющей инструменты для фишинга как услугу (Phishing-as-a-Service или PhaaS). Платформа называется Robin Banks и она продает злоумышленникам готовые наборы инструментов для фишинга, нацеленные на клиентов финансовых компаний США, Великобритании, Канады и Австралии.

Чтобы попасть на сайт Robin Banks, покупатель должен создать аккаунт на платформе, указав электронную почту, пароль, а также заплатить небольшую сумму в криптовалюте. При входе на сайт покупателей встречают структурированные приборная и боковая панели. На них можно создавать фишинговые страницы, отслеживать их состояние, пополнить кошелек на платформе и т.д. Здесь же можно создать кастомный набор инструментов для фишинга.

Приборная и боковая панели Robin Banks

Robin Banks предлагает разные варианты подписки на свои инструменты. Самый простой стоит $50 в месяц и предлагает одну фишинговую страницу. А за $200 в месяц покупатель получает доступ ко всем возможным страницам. В среднем, за рабочий набор инструментов злоумышленники должны будут заплатить от $150 до $300 в месяц.

Цены на сайте платформы

Настраивая инструмент, злоумышленники могут выбрать один из множества брендов, чтобы замаскировать под него фишинговую страницу. Кроме этого, клиентам платформы доступны различные варианты настройки страницы.

Создание фишинговой страницы на платформе

Закончив настройку инструмента, злоумышленник может начать свою фишинговую кампанию, рассылая фальшивые SMS-сообщения или электронные письма, в которых будет ссылка на страницу, созданный с помощью Robin Banks. Как только жертва перейдет по ссылке, она попадет на фишинговую страницу, которая соберет данные о ее браузере, чтобы правильно отобразить страницу в соответствии с типом устройства. Когда жертва заполнит все поля на сайте, домен отправит собранные данные в API Robin Banks.

POST-запрос с данными жертвы

Запрос содержит в себе два уникальных токена. Один из них используется для взаимодействия злоумышленника с API, а второй является токеном жертвы. Специалисты проанализировали трафик и заметили, что каждый раз, когда жертва попадает на другую страницу, запрашивающую ее информацию – создается отдельный POST-запрос, собирающий данные. По мнению экспертов, это нужно для того, чтобы собрать хоть какие-то данные, если жертва раскусит обман и решит выйти с фишинговой страницы, не заполнив форму сбора данных до конца.

После этого, все собранные данные оказываются на одной из панелей на сайте Robin Banks, после чего их можно отправить в Telegram. Однако, доступ к собранным данным имеет не только злоумышленник, но и администраторы платформы, так как информация жертвы приходит на их API.

По мнению специалистов, мотивация продавцов и покупателей проста – заработать как можно больше. Продавцы получают деньги с подписчиков, а злоумышленники – с обманутых жертв или перепродажи украденных данных.