A Mandiant kiberbiztonsági cég kutatói 2022 márciusában fedezték fel a Caffeine nevű adathalász szolgáltatást (Phishing-as-a-Service – PhaaS), amely adathalász kampányok gyors és egyszerű létrehozását teszi lehetővé a kiberbűnözők számára.
A PhaaS szolgáltatások olyan önkiszolgáló mechanizmusokat tartalmaznak, amelyek segítségével személyre szabott adathalász készleteket lehet létrehozni, beleértve oldalakat lehet létrehozni, és kezelni, beleértve a közvetítő átirányítási, illetve csali oldalakat, dinamikus URL generálást, illetve általuk nyomon lehet követni a kampányok működését is.
A legtöbb ilyen szolgáltatással ellentétben a Caffeine teljesen nyitott regisztrációs folyamattal rendelkezik, ami azt jelenti, hogy egy e-mail cím birtokában bárki regisztrálhat a szolgáltatásra. Emellett – kínai és orosz felhasználókat és szervezeteket célzó – adathalász e-mail sablonokat is biztosít, amik jelenleg csak a Microsoft 365 hitelesítőadatok ellopására irányulnak, azonban a szakértők szerint a szolgáltatás készítői minden valószínűséggel a jövőben bővíteni fogják a listát az „ügyfelek” igényei szerint. A Caffeine drágábbnak minősül társaihoz képest, míg legtöbb esetben 50-80 dollár között mozog egy PhaaS ára, a Caffeine három hónapos előfizetése 250 dollár, míg a hat hónapos licence 850 dollárba kerül.
A Mandiant jelentésében – amely indikátorokat (IoC-ket), például YARA szabályokat is tartalmaz – macska-egér játékhoz hasonlítja a Phaas támadások elleni védekezést, ugyanis a támadók amilyen gyorsan felszámolják az egyik ilyen készlettel létrehozott adathalász kampányt, olyan gyorsan hoznak létre másikat. A szervezetek számára a biztonsági cég az alábbi védekezési intézkedéseket javasolja az adathalász támadások mérséklése érdekében:
- Ellenőrizzék rendszeres időközönként a nyilvános webes infrastruktúrát és fájlokat aszerint, hogy azok valóban a szervezet által jól ismert állapotok-e!
- Alkalmazzanak viselkedés-elemzést a webnaplók analízise során, beleértve a kezdeti URL struktúrát, az űrlapok beküldését és az átirányításokat!
- Vizsgálják felül időközönként a biztonsági irányelveket, különösen a jelszavak és hitelesítő adatok visszaállítására vonatkozóan!
- Vezessék be a kétfaktoros azonosítást (2FA) legalább azoknál a felhasználói fiókoknál, ahol külső forrásból érik el a vállalati rendszereket!