網路犯罪
架設超過 4 萬詐騙網站的網路釣魚服務供應商 LabHost 遭警方攻陷 架設超過 4 萬詐騙網站的網路釣魚服務供應商 LabHost 遭警方攻陷
2024 年 4 月 18 日,英國倫敦警察廳 (Metropolitan Police Service) 偕同其他單位聯合執行了一項行動,成功破獲了網路釣魚服務 (Phishing-as-a-Service) 供應商 LabHost。
破獲 LabHost
2024 年 4 月 18 日星期四,英國倫敦警察廳 (Metropolitan Police Service) 偕同其他英國和國際執法單位以及多家私人企業合作夥伴聯合執行了一項行動,成功破獲了網路釣魚服務 (Phishing-as-a-Service,簡稱 PhaaS) 供應商 LabHost。同一時間,正好也有幾起與該行動相關的重要逮捕行動。本文將簡短說明 LabHost 是什麼、它對受害者帶來什麼影響,以及此次執法行動所帶來的效應,此外也說明趨勢科技提供了什麼協助。
LabHost 是什麼?
2021 下半年,LabHost (又名 LabRat) 以全新 PhaaS 平台的姿態現身,隨後便不斷成長,最終提供了數十種網路釣魚頁,專門冒充全球各地的銀行、知名企業,以及其他服務供應商,但主要還是在加拿大、美國和英國境內。該平台非常受到歡迎,在遭到破獲之前共有 2,000 多名駭客在使用,這些駭客利用該平台架設了超過 4 萬個詐騙網站,導致全球有數十萬名受害者。
該平台能為網路犯罪集團提供幾項關鍵效益,包括:
- 取得雙重認證 (2FA) 過程中的認證碼,利用「不肖中間人」(Adversary-in-the-Middle,簡稱 AitM) 的技巧經由代理器來連上被網路釣魚假冒的企業。這是透過一個名為 LabRat 的工具來達成。
- 針對加拿大、美國及國際主要銀行設計的網路釣魚頁面。
- 針對其他知名服務設計的網路釣魚頁面,例如:Spotify、DHL 和 An Post (愛爾蘭郵局) 之類的快遞服務、車輛過路費收費服務、保險公司等等。
- 高度客製化的網路釣魚範本,可蒐集一些標準資訊,如:姓名、住址、電子郵件、出生日期、標準認證問題答案、卡號、密碼、PIN 碼等等。
- 可要求針對特定品牌量身打造網路釣魚頁面。
- 容易管理,因為該平台會處理好開發與管理網路釣魚基礎架構的繁重工作,駭客唯一需要的就是一台虛擬私人伺服器 (VPS) 來存放檔案,並且讓該平台可以自動部署。
- 能為駭客提供詳細的行動成果統計數據。
- 讓駭客管理他們成功偷到的登入憑證。
- 提供熱門的手機簡訊釣魚元件「LabSend」,支援客製化手機簡訊範本,讓駭客輕鬆將網路釣魚頁面發送給受害目標。
基本上,PhaaS 能代為處理開發及代管網路釣魚頁面時的一些傳統工作,並提供方法來擷取偷到的資料,大幅降低駭客跨入網路釣魚這一行的門檻。
請注意,LabHost 並非網路上唯一的一家 PhaaS 供應商,還有許許多多其他類似的供應商,例如:Frappo 和 Greatness。除此之外,還有一些針對類似用途開發的紅隊演練工具,例如:Evilgophish、EvilPhish 及 EvilGinx2。但 LabHost 肯定是該市場上最熱門也最具破壞力的一個。
LabHost 提供三種會員等級 (費用以比特幣支付):
標準會員 (每個月 179 美元)。這個等級提供了數十種針對加拿大機構的網路釣魚頁面,會員最多可以有三個同時活躍的網路釣魚頁面。
高級會員 (每個月 249 美元)。除了標準會員的功能之外,高級會員還享有數十種針對美國機構的網路釣魚頁面,並且可同時活躍的網路釣魚頁面增加至 20 個。
全球會員 (每個月 300 美元)。最高等級的會員提供超過 70 種針對各類國際機構的網路釣魚頁面,並提供 10 個可同時活躍的網路釣魚頁面 (不包含標準及高級會員等級的功能)。全球會員適用的國家地區包括:安道爾、阿根廷、澳洲、奧地利、玻利維亞、巴西、哥倫比亞、法國、德國、瓜地馬拉、香港、愛爾蘭、義大利、荷蘭、盧森堡、馬來西亞、墨西哥、荷蘭、波蘭、葡萄牙、俄羅斯、沙烏地阿拉伯、南韓、西班牙、瑞典、土耳其、阿拉伯聯合大公國,以及委內瑞拉。
除此之外,LabHost 也提供了逐季或年度定閱的選項。而且,該平台的系統管理員還會透過專門的 Telegram 頻道來提供技術支援服務 (所有會員等級皆可享有)。
攻擊流程範例
圖 3 顯示一個相當典型的 LabHost 網路釣魚簡訊攻擊流程 (從受害目者角度看到的畫面)。
受害者的手機會收到一封冒充其所在國家機構的簡訊,此處是假冒愛爾蘭的海關,謊稱受害者需支付某件包裹的關稅。由於愛爾蘭是一個島國,因此愛爾蘭人民在收受來自歐盟以外地區的包裹時 (例如英國或美國) 經常會收到類似的通知。其他針對愛爾蘭人民的常見技巧還有假冒當地的銀行或過路費收費機構,或是國外機構在當地的辦公室。
- 此處的網路釣魚簡訊很可能是經由 LabHost 平台的 LabSend 模組所發出,也許是某個專為此用途而設置的行動裝置農場。請注意,詐騙簡訊中的金額通常會設得很小以避免讓人起疑。
- 一旦受害者點選簡訊中的連結,就會被帶到一個跟愛爾蘭郵局 An Post 很像的冒牌網頁,因為該單位經常處理這類關稅的付款。接著,受害者會被要求輸入手機號碼,不過根據測試,此處填寫的號碼不一定要跟被攻擊的手機號碼相符,因此無法作為安全檢查機制。
- 駭客不會將他們想蒐集的所有資訊都放在同一個畫面上 (因為容易讓人起疑),而是分成好幾個畫面。
- 冒牌的網頁一開始會先詢問受害者的姓名和住址 (Eircode 是愛爾蘭的郵遞區號),接著是典型的信用卡資訊,包括安全碼在內。全部蒐集完之後,所有資料都會經由網路釣魚頁面 (位於 LabHost 基礎架構的駭客帳號下) 傳送至 LabHost 的主要面板,接著駭客就會收到通知。接下來,駭客只要登入 LabHost 就可取得這些資訊,或者將某一期間蒐集到的所有登入憑證一次匯出。
雖然此處是以愛爾蘭的受害者作為範例,但針對其他地區服務機構的攻擊也是類似的流程 (不論行動裝置或桌上型電腦)。行動裝置對駭客有一項優勢就是行動裝置通常不會安裝資安軟體,因此使用者更容易在缺乏警戒的狀況下執行一些小額的交易。像這樣的攻擊不僅會衝擊受害者,也會間接影響被假冒的機構,影響這些機構的信譽,甚至可能讓他們收到受害者的求助電話,但卻幫不上忙。
執法機管有哪些行動?
2024 年 4 月 18 日星期四,LabHost 與所有相關的詐騙網站都遭到倫敦警察廳關閉,換上了駭客遭到逮捕的聲明。這項行動是英國國家犯罪局 (NCA)、倫敦市警局、歐洲刑警組織 (Europol)、英國各地打擊區域性組織犯罪的單位 (ROCU),以及其他國際警力,再加上一些值得信賴的私人機構通力合作的成果。
除此之外,從 4 月 14 日至 17 日期間,國際執法單位也逮捕了多名使用該服務的犯罪分子。國際執法單位同時還接觸了其他數百名犯罪分子,告知其犯罪活動已被警方掌握,並警告歹徒他們將繼續受到密切監控。
這份新聞稿說明了 LabHost 服務的營業規模,包括該服務在大約兩年半的期間所賺取的龐大利益、建立的詐騙網域數量,以及竊取的登入憑證數量。剷除這項服務以及使用該服務的多名大戶,將對這類網路釣魚詐騙攻擊造成重大打擊。
趨勢科技自 2023 年 6 月起便已經一直在協助英國警方調查 LabHost,這段期間,我們提供了下列協助:
- 調查不肖代管服務的基礎架構。
- 調查 LabHost 用戶的網路釣魚頁面。
- 協助進行 LabHost 用戶的分類與群集分析。
- 針對該服務的一些重要大戶展開個別調查。
不論對我們的客戶或非客戶來說,這項工作與趨勢科技致力讓數位資訊交換世界變得更加安全的企業使命相符。數十年來,我們一直在與全球的執法機關合作,並與英國執法機關簽訂正式合作,最早可追溯至將近 10 年之前,同時也促成了多項成功的行動與逮捕。像這樣的合作不僅有助於我們運用最即時的威脅情報來主動保護我們的客戶,同時也順便將影響力擴散至更廣大的網際網路使用者。
在這次行動中,倫敦警察廳與合作夥伴們產除了網路釣魚生態系當中的一名重要角色,削弱了駭客的工具,並且在他們的用戶群當中製造不安。這對於受到該平台網路釣魚攻擊危害的受害者發揮了立即的正面影響,保護了原本可能收到詐騙訊息的受害者以及他們的品牌商譽。
我們希望藉這機會恭喜帶領此次行動的倫敦警察廳以及相關的國際單位與執法夥伴,還有那些值得信賴的業界同儕,感謝他們在這起案件上的辛勞。期待未來還能看到更多的成功案例。
關鍵指標
以下是目前已關閉的服務當時的一些主要頁面。趨勢科技已經能主動攔截每一個頁面,因此如果我們的客戶有使用者連上這些網站應該會收到通知。
- labhost[.]cc (過去)
- labhost[.]cc (過去)
- labhost[.]xyz (過去)
- labhost[.]ru (過去)
- lab-host[.]ru
此外,該平台也被用來架設了超過 4 萬個詐騙網站,使用該平台的駭客每天都會產生許多新的網路釣魚網址。趨勢科技已可透過資訊蒐集與行為偵測來為客戶攔截這些網址,並且在我們的記錄檔中標記為「PHISHKIT」(網路釣於套件)。
正如前面所說,目前仍有其他 PhaaS 類型的服務還在經營當中,因此我們會繼續主動監控並提供防護來防範未來的攻擊行動。如需有關如何防範網路釣魚攻擊的建議,請參閱我們有關何謂網路釣魚的網頁。