یک گروه مجرمانه سازمانیافته در چین، با استفاده از یک کیت خودکار فیشینگ پیامکی (Smishing)، بزرگترین کمپین فیشینگ پیامکی در دنیا را اجرا کرده است. بهگزارش شرکت امنیتی Resecurity، این شبکه با نام جدید «Panda Shop» روزانه بیش از ۲ میلیون پیامک فیشینگ را از طریق بسترهایی نظیر SMS،iMessage و Android RCS به کاربران سراسر جهان، از جمله آمریکا، ارسال میکند.
🛠️ کیت فیشینگ Panda Shop؛ جنایتی به سبک سرویسدهی
Panda Shop نه فقط یک ابزار، بلکه یک زیرساخت مجرمانه بهصورت سرویس (Crime-as-a-Service) است که از طریق کانالهای تلگرام به فروش میرسد. مجرمان سایبری با دریافت دسترسی از پشتیبانی تلگرامی این گروه، میتوانند پیامهای فیشینگ را با قالبهای جعلی متنوع برای برندهای معتبر نظیر USPS، بانکهای آمریکایی، اپراتورهای اینترنت و شرکتهای حملونقل ارسال کنند.
این کیت قابلیت شخصیسازی دارد و امکان نصب روی هر سروری را فراهم میکند. طبق گزارش Resecurity، این ابزار شباهت زیادی به کیت قبلی با نام «Smishing Triad» دارد و احتمالاً ادامه همان پروژه است که با برند جدید بازسازی شده.
مقاله مرتبط: هشدار! لینکهای جعلی Zoom میلیونها دلار ارز دیجیتال را به سرقت بردند
🧠 عبور از فیلترهای امنیتی با استفاده از تکنولوژیهای قانونی
نکته قابلتوجه آن است که بسیاری از این پیامها دیگر از طریق خطوط مخابراتی سنتی ارسال نمیشوند، بلکه از بسترهای اینترنتی مانند iMessage و RCS بهره میبرند. این ویژگی نهتنها دسترسی سریعتری به کاربران ایجاد میکند، بلکه شناسایی و مقابله با آنها را برای سیستمهای ضدفیشینگ دشوارتر میسازد.
برای توزیع این پیامها، مجرمان از حسابهای هکشدهی Gmail و Apple ID استفاده میکنند که بهصورت عمده از بازارهای زیرزمینی خریداری شدهاند. همچنین، برای ارسال پیامکهای انبوه، از دروازههای پیامکی (SMS gateways) و تجهیزات خاص اپراتورها استفاده میشود.
🌐 فیشینگ حرفهای و هدفمند با بررسی اعتبار IP کاربران
Panda Shop از سرویسهای بررسی اعتبار IP نیز سوءاستفاده میکند تا مشخص کند آیا هدف یک کاربر واقعی است یا خیر. این اقدام باعث میشود حملات با دقت بیشتری اجرا شده و احتمال شناسایی توسط سیستمهای امنیتی کاهش یابد.
در یکی از سناریوهای رایج، کاربر یک پیام با ظاهری قانونی از USPS دریافت میکند که از او درخواست تکمیل اطلاعات برای دریافت بستهای پستی دارد. اما لینک داخل پیام به سایتی جعلی هدایت میشود که طراحی آن کاملاً شبیه وبسایت رسمی است و اطلاعات حساس نظیر شماره کارت اعتباری، اطلاعات شخصی و رمز دوم را سرقت میکند.
💸 ارتباط با حملات گسترده مالی و پولشویی
به گفته Resecurity، اعضای این گروه نهتنها در فیشینگ پیامکی فعالاند، بلکه با شبکههای پولشویی، سوءاستفاده از Google Wallet و Apple Pay، و ابزارهای NFC نیز همکاری نزدیکی دارند. بسیاری از دادههای بهدستآمده در فروشگاههای کارتی زیرزمینی به فروش میرسند یا در حملات بعدی استفاده میشوند.
این گروه همچنین با بانکهای بزرگ آمریکا نظیر Bank of America، Citibank، JPMorgan Chase، و همچنین برخی مؤسسات مالی در بریتانیا، حملاتی برنامهریزیشده انجام دادهاند.
⚖️ نبود همکاری قضایی، مانعی جدی در مقابله با تهدیدات
تحقیقات نشان میدهد که سرورهای مربوط به این گروه در منطقه شانگهای قرار دارند و دامنههای استفادهشده توسط آنها، از طریق شرکتهای ثبت دامنهی چینی خریداری شدهاند؛ شرکتهایی که سابقه تخلفات جدی در نقض قوانین ICANN دارند.
یکی از چالشهای اصلی در مقابله با این تهدید، نبود همکاری قضایی بین چین و آمریکا است. بیشتر دستگیریها تاکنون تنها شامل عوامل اجرایی در کشور مقصد، مانند «پولشوها» و استفادهکنندگان کارت در دستگاههای POS بودهاند، نه مغزهای متفکر پشت این کمپینهای سایبری.
📌 نتیجهگیری
گسترش زیرساختهای مجرمانهای مانند Panda Shop، نشاندهنده تحول بزرگ در نحوه اجرای حملات فیشینگ است. استفاده از فناوریهای قانونی مانند iMessage و RCS، سوءاستفاده از برندهای معتبر، و ارتباط با شبکههای زیرزمینی پولشویی، زنگ خطر بزرگی برای کارشناسان امنیت سایبری بهحساب میآید.
برای مقابله با چنین تهدیدهایی، نیاز به تحلیل تهدیدات پیشرفته، تشخیص دقیق رفتارهای فیشینگ، و بهروزرسانی مداوم سامانههای دفاعی داریم. همچنین همکاری بینالمللی برای مقابله با گروههای سازمانیافته سایبری که از مصونیتهای جغرافیایی بهره میبرند، از اهمیت بالایی برخوردار است.