Neue PhaaS-Plattform Phoenix treibt Brand-Impersonation-Smishing in Finanz-, Telekommunikations- und Logistiksektor voran

Das Phoenix System baut auf diesem Modell auf, indem es ein zentrales Verwaltungspanel anbietet, mit dem Betreiber mehrere Phishing-Kampagnen gleichzeitig in verschiedenen Ländern und Branchen verwalten können.

Opferanalysekarte für die Reward Points Phishing-Kampagne (Quelle – Group-IB) Seit Januar 2024 wird die Plattform mit zwei Hauptkampagnentypen in Verbindung gebracht: Reward Points Phishing, das Banken und Mobilfunkanbieter nachahmt, und Failed Parcel Delivery Phishing, das Logistik- und Versandunternehmen nachahmt.

Opferanalysekarte für die Failed Parcel Delivery Phishing-Kampagne (Quelle – Group-IB) Forscher bei der Analyse globaler Smishing-Operationen in den Regionen APAC, LATAM, Europa und MEA.

Die Untersuchung ergab, dass beide Kampagnentypen,

Die Untersuchung ergab, dass beide Kampagnentypen, obwohl sie unterschiedliche Branchen und Opfergruppen ins Visier nehmen, dieselbe Backend-Infrastruktur , was bestätigt, dass es sich nicht um separate Operationen, sondern um Teil eines einzigen, organisierten Phishing-Ökosystems handelt.

Die Plattform ist der direkte Nachfolger eines früheren Tools namens Mouse System, das inzwischen außer Betrieb genommen wurde. Das Phoenix System übernimmt viel der gleichen JavaScript-Logik und des administrativen Frameworks wie sein Vorgänger, mit erheblichen Updates, die es schwieriger zu erkennen und einfacher im großen Maßstab zu betreiben machen.

Bisher haben die 70 Organisationen weltweit ins Visier genommen, wobei seit Anfang 2024 über 1.500 Phishing-Domains identifiziert wurden. Was Phoenix besonders alarmierend macht, ist seine Kombination aus Geschwindigkeit, Flexibilität und Umgehungsfähigkeiten.

Holz als technisches Geruest

Betreiber können Kampagnen für spezifische Länder mithilfe so sicherstellen, dass nur Opfer aus der beabsichtigten Region auf den Phishing-Inhalt stoßen. Ein Telegram-Kanal verkauft die Phishing-Kits des Phoenix Systems (Quelle – Group-IB).

Die Plattform verlangt rund 2.000 $ für den jährlichen Zugang und wird über dedizierte Telegram-Kanäle vertrieben. Inside the Phoenix Phishing Panel Einer der technisch bemerkenswertesten Aspekte , das den Betreibern die volle Kontrolle über jede Phase einer Phishing-Kampagne gibt.

Nach der Konfiguration ermöglicht das Panel den Betreibern, aktive Kampagnen zu überwachen, Verkehrsfilterregeln nach IP-Bereich oder Gerätetyp festzulegen und alle erfassten Anmeldedaten in Echtzeit über ein Live-Dashboard zu überwachen.

Die Smishing-Nachrichten werden mithilfe einer Kombination

Die Smishing-Nachrichten werden mithilfe einer Kombination aus gewöhnlichen Mobiltelefonnummern und Base Transceiver Station Injection zugestellt.

Wie die Base Transceiver Station (BTS) funktioniert (Quelle – Group-IB) Die BTS-basierte Zustellung beinhaltet bösartige Geräte, die stärkere Signale senden als legitime Türme, wodurch nahegelegene Geräte gezwungen werden, sich zu verbinden und direkt injizierte SMS-Nachrichten zu empfangen.

Da diese Nachrichten die Filterung auf Anbieterebene umgehen, scheinen sie stammen, was es für Benutzer und Telekommunikationsbetreiber gleichermaßen viel schwieriger macht, sie zu erkennen.

Wenn ein Opfer auf den Link

Wenn ein Opfer auf den Link in der SMS klickt, überprüft die Phishing-Seite zunächst die IP-Adresse und den Gerätetyp des Besuchers. Nur Benutzer aus dem Zielland und auf genehmigten Geräten können die betrügerische Seite sehen.

Alle anderen werden still auf eine Fehlerseite oder eine standardmäßige Systemweiterleitung umgeleitet, wodurch die Infrastruktur effektiv vor Sicherheitsforschern verborgen bleibt. Die Phishing-Seiten sind so gestaltet, dass sie den offiziellen Websites bekannter Marken mit passenden Logos, Layouts und Formulierungen sehr ähnlich sehen.

Die Opfer werden zunächst aufgefordert, ihre Telefonnummer einzugeben, um den Status der Belohnung zu überprüfen oder Lieferdetails zu aktualisieren. Nach der Übermittlung werden sie durch eine Reihe ührt, die vollständige Kreditkartendaten, Lieferadressen und persönlich identifizierbare Informationen sammeln.

Moegliche Anwendungen

Organisationen können ihre Exposition verringern, indem sie kontinuierlich auf SMS-verknüpfte Markenmissbräuche überwachen und neu registrierte Domains verfolgen. Telecom-Teams sollten schnelle Deaktivierungs-Workflows aktivieren und bei Verdacht auf BTS-basierte Injektion mit den Netzbetreibern koordinieren.

Einzelne Benutzer sollten darauf achten, Links in ungebetenen SMS-Nachrichten nicht anzuklicken, jegliche Warnungen über offizielle Apps oder Websites zu überprüfen und niemals Zahlungs- oder persönlichen Daten über Links einzugeben, die per Text zugestellt wurden.

Sie uns auf