Kybernetický zločin se poslední léta demokratizuje a přístup k phishingovým kampaním má skutečně kdokoliv. Navíc existuje stále více případů, kdy odhalená útočná kampaň nepochází od určitého útočníka, ale od poskytovatele phishingové služby. Přesně takovou službu nedávno odhalila společnost Microsoft. Tým profesionálních hackerů poskytoval Phishing-as-a-Service, někdy zkráceně PhaaS, a byl dle všeho zodpovědný za řadu různě úspěšných útoků v minulosti.
Phishing do každé rodiny?
Tým zločinců vystupujících pod jménem BulletProofLink (nebo někdy také Anthrax) poskytoval zájemcům služby zahrnující prodej šablon a také celých sad phishingových e-mailů. Zákazníci k nim měli přístup buď pomocí měsíčního předplatného, v takovém případě se jim dostávalo pravidelných updatů a aktualizací e-mailů a jejich kódů, nebo pomocí jednorázové platby, kdy klienti zaplatili za jednotlivou zprávu, kód či sadu.
Kromě toho poskytovala skupina také služby typu krádeže pověření a přihlašovacích údajů, hackerské hostingové služby nebo služby v podobě e-mailových kampaní. Na svých stránkách zločinci dále tvrdili, že umí svým zákazníkům za obnos poskytnout také dokonale nedetekovatelné přístupy do sítí obětí. Je potřeba říct, že nedetekovatelné byly služby zločinců skutečně jen v teorii. Byli odhaleni poté, co bezpečnostní týmy narazily na podezřelou e-mailovou kampaň, která pro rozesílku využívala 300 tisíc nově vytvořených subdomén, jež však ve skutečnosti pramenily z jediného zdroje.
Díky tomu, že se kampaň podařilo zachytit, nezpůsobila na rozdíl od těch minulých žádné škody. Kdyby se ale na podezřelou aktivitu nepřišlo, 300 tisícům uživatelů by ve schránce skončily zprávy, které napodobují přihlašovací a informační e-maily od populárních webových platforem a aplikací, jako je Facebook, Instagram, Netflix nebo Amazon. Dodneška se podařilo odhalit na 120 šablon, které napodobují oficiální zprávy a jsou spjaty se skupinou BulletProofLink.
Kvalita phishingu je nízká, jde o množství
Na jednu stranu služby takovýchto zločineckých skupin vykazují značnou dávku neprofesionality. Obecně je totiž kvalita kvalita phishingových služeb nízká a podchytit podezřelou a rozsáhlou kampaň je pro odborníky poměrně snadné. Model phishingu jako služby tak v určitém smyslu snížil standardy phishingových útoků, a tedy i jejich úspěšnost.
Na druhou stranu ale služba zpřístupnila tento druh kybernetického zločinu široké veřejnosti. Zaútočit může bývalý zaměstnanec, který se mstí svému ex-zaměstnavateli, nenávistný občan může zaútočit na státní orgány, phishingem může student, který dostal špatnou známku, ohrozit fungování celé univerzity. Navíc pokud uspějí, nejen že pokryjí vynaložené výdaje, ale mohou si i rychle vydělat na výkupném. Díky této přístupnosti se v posledních letech masivně zvedá výskyt útoků. Často nejsou nijak sofistikované, ale fatálně uškodit může i ten nejprimitivnější.