微軟研究團隊Microsoft 365 Defender揭露大規模網路釣魚即服務(Phishing-as-a-Service, PaaS) BulletProofLink,該服務建立逾30萬個子網域,提供超過100種網路釣魚範本,降低高危害網路釣魚攻擊行動之門檻。
BulletProofLink提供一次性租賃之網路釣魚套件與訂閱購買之網路釣魚服務,前者提供釣魚郵件與相關網站模板,後者除套件外,亦提供郵件遞送、網站代管、竊取憑證及憑證遞送等服務。此外,2者皆存在雙重竊盜(Double Theft),網路釣魚服務供應商於套件中嵌入程式,藉此取得客戶所竊取之憑證,並轉售予其他客戶再次獲利。
根據微軟調查,BulletProofLink服務營運方藉由修改受駭網站之DNS紀錄,以利於受信任網站上生成Wildcard子網域,使其可無限濫用子網域以承載無數釣魚網頁,僅滲透1個網域,便可提供獨立網釣網址予客戶,節省成本。另外,透過建立大量網路釣魚子域名網址之方式,更易規避資安偵測與追蹤機制,目前BulletProofLink已建立逾30萬個子網域。
資料來源:
Catching the big fish: Analyzing a large-scale phishing-as-a-service operation
BulletProofLink, a large-scale phishing-as-a-service active since 2018