Chińska grupa cyberprzestępcza "XinXin" uruchomiła nową platformę phishingową o nazwie "Lucid", przeprowadzając masowe ataki na całym świecie, w tym również w Polsce. W swoim procederze wykorzystuje zaawansowane wiadomości przesyłane za pośrednictwem iMessage (iOS) oraz RCS (Android).

Phishing-as-a-Service (PhaaS) – nowy wymiar zagrożenia

Lucid działa w modelu "phishing-as-a-service" (PhaaS), oferując subskrybentom dostęp do ponad 1000 domen phishingowych, automatycznie generowanych stron oraz zaawansowanych narzędzi do spamu. Platforma, aktywna od połowy 2023 roku, jest dystrybuowana za pośrednictwem dedykowanego kanału na Telegramie, który zrzesza około 2000 członków.

Grupa XinXin ujawnia, że codziennie wysyła 100 000 wiadomości smishingowych za pośrednictwem RCS i iMessage. To pozwala im omijać tradycyjne filtry antyspamowe, co znacznie zwiększa skuteczność ataków oraz obniża koszty operacyjne w porównaniu z masową wysyłką SMS-ów.

Innowacyjne techniki ataków

Przestępcy korzystają z farm urządzeń iOS i Android do wysyłania wiadomości tekstowych. W przypadku iMessage używają tymczasowych Apple ID, a w przypadku RCS wykorzystują luki w implementacji walidacji nadawcy przez operatorów. Ich kampanie phishingowe często podszywają się pod powiadomienia o przesyłkach, alerty dotyczące podatków czy opłaty za przejazdy autostradami.

W wiadomościach zawarte są spersonalizowane logo oraz branding, a także dostosowany język oraz filtry geolokalizacyjne, co ma na celu zwiększenie wiarygodności i szans na kliknięcie przez ofiary. Po kliknięciu w linki, ofiary są przekierowywane na fałszywe strony udające instytucje państwowe (np. urzędy celne, agencje transportowe) oraz prywatne firmy (np. USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC).

Kradzież danych – niebezpieczeństwo na wyciągnięcie ręki

Fałszywe strony mają na celu wykraść osobowe i finansowe dane użytkowników, w tym imiona i nazwiska, adresy e-mail, fizyczne adresy oraz dane kart kredytowych. Platforma Lucid zawiera wbudowany walidator kart kredytowych, umożliwiający przestępcom testowanie skradzionych kart. Cenne dane są następnie sprzedawane innym cyberprzestępcom lub wykorzystywane do oszustw.

Jak się bronić przed atakami?

Eksperci zalecają ostrożność przy otwieraniu linków w wiadomościach oraz korzystanie z aktualnych programów ochrony przed malwarem. Warto także włączyć dwuskładnikowe uwierzytelnianie wszędzie tam, gdzie to możliwe, aby zwiększyć bezpieczeństwo naszych kont. Jeśli podejrzewasz, że mogłeś paść ofiarą takiego ataku, natychmiast skontaktuj się z bankiem i zmień hasła do wszystkich ważnych kont.