[[425444]]

 內(nèi)容提要：

• BulletProofLink 是地下網(wǎng)絡(luò)犯罪的“網(wǎng)絡(luò)釣魚即服務(wù)”門戶;

• BulletProofLink 運營商為網(wǎng)絡(luò)釣魚活動提供網(wǎng)絡(luò)釣魚工具包和“開箱即用”的托管服務(wù);

• BulletProofLink 商店為“客戶”提供對120多個網(wǎng)絡(luò)釣魚模板的訪問權(quán)限;

近日，微軟安全團隊表示，他們發(fā)現(xiàn)了一項大規(guī)模操作：利用類似托管的基礎(chǔ)設(shè)施向網(wǎng)絡(luò)犯罪團伙提供釣魚服務(wù)。微軟稱這項服務(wù)為“網(wǎng)絡(luò)釣魚即服務(wù)”(Phishing-as-a-Service，簡稱PHaaS)模式。

據(jù)悉，該服務(wù)運營商被稱為BulletProofLink、BulletProftLink或Anthrax，目前在地下網(wǎng)絡(luò)犯罪論壇上進行廣告宣傳。

該服務(wù)是在“網(wǎng)絡(luò)釣魚工具包”——模仿已知公司的登錄形式的網(wǎng)絡(luò)釣魚頁面和模板的集合——基礎(chǔ)上演變而來的。

研究人員表示，BulletProofLink還通過提供內(nèi)置的托管和電子郵件發(fā)送服務(wù)，將其提升到一個全新的水平。

客戶通過支付800美元在BulletProofLink門戶上注冊，BulletProofLink運營商就會為他們處理其他一切事情。這些服務(wù)包括設(shè)置一個網(wǎng)頁來托管釣魚網(wǎng)站、安裝釣魚模板本身、為釣魚網(wǎng)站配置域名、向目標(biāo)受害者發(fā)送實際的釣魚郵件、從攻擊中收集憑證，然后在周末向“付費客戶”交付被盜的登錄信息。

如果犯罪團伙想要改變他們的網(wǎng)絡(luò)釣魚模板，BulletProofLink團伙還經(jīng)營著一個單獨的商店，威脅行為者可以在那里購買新模板用于他們的攻擊，每個新模板的價格從80美元到100美元不等。

據(jù)悉，BulletProofLink商店中提供大約120種不同的網(wǎng)絡(luò)釣魚模板。此外，該站點還提供教程以幫助客戶使用該服務(wù)。

但微軟研究人員表示，他們還發(fā)現(xiàn)，該服務(wù)還通過保留所有收集到的憑證的副本來偷竊自己的客戶，相信該組織稍后會通過在地下市場出售這些憑證來盈利。

微軟將整個操作描述為“技術(shù)演進”，該組織經(jīng)常使用被黑網(wǎng)站來托管其網(wǎng)絡(luò)釣魚頁面。在某些情況下，安全團隊還觀察到BulletProofLink團伙破壞了被黑網(wǎng)站的DNS記錄，以便在受信任的網(wǎng)站上生成子域來承載釣魚網(wǎng)頁。

微軟表示，“在研究網(wǎng)絡(luò)釣魚攻擊時，我們發(fā)現(xiàn)了一項活動，該活動使用了大量新創(chuàng)建和獨特的子域——單次運行超過300000個。可想而知BulletProofLink‘網(wǎng)絡(luò)釣魚即服務(wù)’的規(guī)模有多巨大。”