פלטפורמת פישינג (דיוג) כשירות (PhaaS) של רובין בנקס (Robin Banks) חזרה לפעולה כאשר התשתית שלה מתארחת בחברת אינטרנט רוסית המציעה הגנה מפני התקפות מניעת שירות מבוזרות (DDoS). פלטפורמת רובין בנקס התמודדה עם הפרעה תפעולית ביולי 2022, כאשר חוקרי סייבר ב- IronNet חשפו את הפלטפורמה כשירות דיוג מאיים ביותר המכוון ל- Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Santander, Lloyds Bank ו- Commonwealth Bank.
שירות Cloudflare הכניס מיד את הצד הקדמי והאחורי של הפלטפורמה לרשימה שחורה והפסיקה מתקפות דיוג מתמשכות של פושעי סייבר המשלמים מנוי עבור שימוש בפלטפורמת PhaaS.
דוח חדש של IronNet מזהיר מפני חזרתה של פלטרפומת רובין בנקס ומדגיש את הצעדים שמפעיליו נקטו כדי להסתיר ולהגן טוב יותר על הפלטפורמה מפני חוקרי סייבר. בין התכונות החדשות ניתן למנות עקיפת אימות רב-גורמי (MFA) וניתוב מחדש המסייע למפעילי הדיוג להימנע מזיהוי. כדי להחזיר את השירות שלהם לפעילות מקוונת, פנו מפעילי רובין בנקס ל- DDoS-Guard, ספקית שירותי אינטרנט רוסית עם היסטוריה ארוכה של בורסות עסקיות שנויות במחלוקת. חלק מלקוחותיה הם חמאס, פארלר, HKLeaks ולאחרונה, חוות קיווי. כדי למנוע גישת גורמים חיצוניים לפאנל הדיוג, הוסיפו מפעילי רובין בנקס אימות דו-גורמי עבור חשבונות לקוחות. בנוסף, כל הדיונים בין מנהלי הליבה נעשים כעת דרך ערוץ טלגרם פרטי.
אחת התכונות החדשות שגילו האנליסטים של IronNet ברובין בנקס היא השימוש ב- Adspect שהוא מנגנון הסוואה של צד שלישי, מסנן בוטים ועוקב פרסומות. פלטפורמות PhaaS משתמשות בכלים כמו Adspect כדי להפנות יעדים חוקיים לאתרי דיוג תוך הפניית סורקים ותעבורה לא רצויה לאתרים לגיטימיים ובכך להתחמק מזיהוי. מפתחי רובין בנקס הטמיעו גם את ה- Proxy ההפוך Evilginx2 עבור התקפות "אדם באמצע" וגניבת עוגיות המכילות אסימוני אימות. Evilginx2 הוא כלי פרוקסי הפוך אשר מקיים תקשורת בין הקורבן לשרת של השירות האמיתי, מעביר בקשות כניסה ואישורים ולוכד את קובץ ה- cookie של הפגישה במעבר. כך יכולים מפעילי הדיוג לעקוף את מנגנון האימות הרב גורמי מכיוון שהם יכולים להשתמש בעוגיות שנלכדו כדי להיכנס לחשבון הבנק של הקורבן כאילו הם הבעלים.
העובדה שרובין בנקס מתמיד בהסתמכות בלעדית על כלים ושירותים זמינים, מוכיחה שכל מי שנחוש מספיק יכול לבנות פלטפורמות PhaaS. הזמינות הרחבה של הפלטפורמות הללו פותחת את הדלת לפושעי סייבר פחות טכניים, ומאפשרת להם להשיק התקפות דיוג חזקות ולעקוף אימות רב גורמי כדי לגנוב חשבונות בנק וחשבונות משתמשים באתרים שונים.
