中文網路釣魚工具包正變得日益先進

Google 威脅情報小組（GTIG）目前正在追蹤快速擴張的中文網路犯罪生態系，特別是其中所提供的「網路釣魚即服務（Phishing-as-a-Service, PhaaS）」產品。他們指出，該市場中至少有十幾種這類型的釣魚工具包（Phishing kits）已演進為相當成熟的高階工具，大幅降低了技術能力地下的初階犯罪者發起高階攻擊的門檻。

「在這個生態系中，GTIG 觀察到一個根本性的轉變：攻擊手法已從過去被動、靜態的『收集帳號密碼』，演變為即時的『攔截與代幣化（Tokenization）』，」GTIG 解釋道。「藉由使用即時控制面板（Live administration panels），攻擊者可以與受害者進行實時互動，直接捕捉一次性驗證碼（OTP），從而能夠立即繞過多因素身分驗證（MFA）。這些行動的重點不再僅僅是取得帳戶的存取權，而是專注於利用數位錢包（Digital wallet）的綁定程序，將竊取來的支付資料轉化為生態系中的代幣化資產。這種轉變，再配合使用 RCS（豐富通訊服務）和 iMessage 等加密傳輸管道來繞過電信業者傳統對簡訊（SMS）的安全性過濾機制，代表了一種新興的發展趨勢：駭客的目標不再只是單純登入帳戶，而是要直接、未經授權地全面掌控受害者的金融帳戶。」

值得注意的是，這些釣魚工具包專門利用 RCS 和 iMessage 來鎖定 Android 和 Apple 的用戶，這大幅提升了釣魚訊息成功送達目標裝置的機率。

「相較於傳統簡訊，這些中文 PhaaS 業者極度依賴 RCS 和 Apple 的 iMessage，」研究人員寫道。「由於這些協定採用了端到端加密（End-to-end encryption），使得電信伺服器端（Server-side）的傳輸基礎架構極難對惡意連結進行檢查或過濾，這讓裝置端的防護（On-device protections）變得至關重要。此外，這些訊息還包含更豐富的互動功能（包括讀取回條、輸入狀態指示器、群組聊天功能，以及發送高解析度圖片、影片和大檔案的能力）。這使得它們成為發起社交工程（Social engineering）行動的絕佳工具，因為對一般使用者而言，這些誘餌看起來顯得格外真實、極具說服力。」

如需閱讀更多完整內幕，請參閱 GTIG 的詳細報告：《2 PhaaS 2 Furious：中文網路釣魚服務的演進（2 PhaaS 2 Furious: The Evolution of Chinese-Language Phishing Services）》