یک گروه مجرمانه سازمان‌یافته در چین، با استفاده از یک کیت خودکار فیشینگ پیامکی (Smishing)، بزرگ‌ترین کمپین فیشینگ پیامکی در دنیا را اجرا کرده است. به‌گزارش شرکت امنیتی Resecurity، این شبکه با نام جدید «Panda Shop» روزانه بیش از ۲ میلیون پیامک فیشینگ را از طریق بسترهایی نظیر SMS،iMessage  و Android RCS به کاربران سراسر جهان، از جمله آمریکا، ارسال می‌کند.

🛠️ کیت فیشینگ Panda Shop؛ جنایتی به سبک سرویس‌دهی

Panda Shop نه فقط یک ابزار، بلکه یک زیرساخت مجرمانه به‌صورت سرویس (Crime-as-a-Service) است که از طریق کانال‌های تلگرام به فروش می‌رسد. مجرمان سایبری با دریافت دسترسی از پشتیبانی تلگرامی این گروه، می‌توانند پیام‌های فیشینگ را با قالب‌های جعلی متنوع برای برندهای معتبر نظیر USPS، بانک‌های آمریکایی، اپراتورهای اینترنت و شرکت‌های حمل‌ونقل ارسال کنند.

این کیت قابلیت شخصی‌سازی دارد و امکان نصب روی هر سروری را فراهم می‌کند. طبق گزارش Resecurity، این ابزار شباهت زیادی به کیت قبلی با نام «Smishing Triad» دارد و احتمالاً ادامه همان پروژه است که با برند جدید بازسازی شده.

مقاله مرتبط: هشدار! لینک‌های جعلی Zoom میلیون‌ها دلار ارز دیجیتال را به سرقت بردند

🧠 عبور از فیلترهای امنیتی با استفاده از تکنولوژی‌های قانونی

نکته قابل‌توجه آن است که بسیاری از این پیام‌ها دیگر از طریق خطوط مخابراتی سنتی ارسال نمی‌شوند، بلکه از بسترهای اینترنتی مانند iMessage و RCS بهره می‌برند. این ویژگی نه‌تنها دسترسی سریع‌تری به کاربران ایجاد می‌کند، بلکه شناسایی و مقابله با آن‌ها را برای سیستم‌های ضدفیشینگ دشوارتر می‌سازد.

برای توزیع این پیام‌ها، مجرمان از حساب‌های هک‌شده‌ی Gmail و Apple ID استفاده می‌کنند که به‌صورت عمده از بازارهای زیرزمینی خریداری شده‌اند. همچنین، برای ارسال پیامک‌های انبوه، از دروازه‌های پیامکی (SMS gateways) و تجهیزات خاص اپراتورها استفاده می‌شود.

🌐 فیشینگ حرفه‌ای و هدفمند با بررسی اعتبار IP کاربران

Panda Shop از سرویس‌های بررسی اعتبار IP نیز سوءاستفاده می‌کند تا مشخص کند آیا هدف یک کاربر واقعی است یا خیر. این اقدام باعث می‌شود حملات با دقت بیشتری اجرا شده و احتمال شناسایی توسط سیستم‌های امنیتی کاهش یابد.

در یکی از سناریوهای رایج، کاربر یک پیام با ظاهری قانونی از USPS دریافت می‌کند که از او درخواست تکمیل اطلاعات برای دریافت بسته‌ای پستی دارد. اما لینک داخل پیام به سایتی جعلی هدایت می‌شود که طراحی آن کاملاً شبیه وب‌سایت رسمی است و اطلاعات حساس نظیر شماره کارت اعتباری، اطلاعات شخصی و رمز دوم را سرقت می‌کند.

💸 ارتباط با حملات گسترده مالی و پول‌شویی

به گفته Resecurity، اعضای این گروه نه‌تنها در فیشینگ پیامکی فعال‌اند، بلکه با شبکه‌های پول‌شویی، سوءاستفاده از Google Wallet و Apple Pay، و ابزارهای NFC نیز همکاری نزدیکی دارند. بسیاری از داده‌های به‌دست‌آمده در فروشگاه‌های کارتی زیرزمینی به فروش می‌رسند یا در حملات بعدی استفاده می‌شوند.

این گروه همچنین با بانک‌های بزرگ آمریکا نظیر Bank of America، Citibank، JPMorgan Chase، و همچنین برخی مؤسسات مالی در بریتانیا، حملاتی برنامه‌ریزی‌شده انجام داده‌اند.

⚖️ نبود همکاری قضایی، مانعی جدی در مقابله با تهدیدات

تحقیقات نشان می‌دهد که سرورهای مربوط به این گروه در منطقه شانگهای قرار دارند و دامنه‌های استفاده‌شده توسط آن‌ها، از طریق شرکت‌های ثبت دامنه‌ی چینی خریداری شده‌اند؛ شرکت‌هایی که سابقه تخلفات جدی در نقض قوانین ICANN دارند.

یکی از چالش‌های اصلی در مقابله با این تهدید، نبود همکاری قضایی بین چین و آمریکا است. بیشتر دستگیری‌ها تاکنون تنها شامل عوامل اجرایی در کشور مقصد، مانند «پول‌شوها» و استفاده‌کنندگان کارت در دستگاه‌های POS بوده‌اند، نه مغزهای متفکر پشت این کمپین‌های سایبری.

📌 نتیجه‌گیری

گسترش زیرساخت‌های مجرمانه‌ای مانند Panda Shop، نشان‌دهنده تحول بزرگ در نحوه اجرای حملات فیشینگ است. استفاده از فناوری‌های قانونی مانند iMessage و RCS، سوءاستفاده از برندهای معتبر، و ارتباط با شبکه‌های زیرزمینی پول‌شویی، زنگ خطر بزرگی برای کارشناسان امنیت سایبری به‌حساب می‌آید.

برای مقابله با چنین تهدیدهایی، نیاز به تحلیل تهدیدات پیشرفته، تشخیص دقیق رفتارهای فیشینگ، و به‌روزرسانی مداوم سامانه‌های دفاعی داریم. همچنین همکاری بین‌المللی برای مقابله با گروه‌های سازمان‌یافته سایبری که از مصونیت‌های جغرافیایی بهره‌ می‌برند، از اهمیت بالایی برخوردار است.