钓鱼平台Lucid是全球诈骗短信攻击浪潮的幕后推手

一个名为“Lucid”的网络钓鱼即服务 (PhaaS) 平台通过 iMessage（iOS）和 RCS（Android）发送精心制作的消息，攻击了 88 个国家的 169 个实体。

Lucid 自 2023 年中期以来一直由被称为“XinXin”集团的中国网络犯罪分子运营，并通过基于订阅的模式出售给其他网络犯罪组织，使他们能够访问 1,000 多个网络钓鱼域、定制的自动生成的网络钓鱼网站和专业级垃圾邮件工具。

Prodaft 研究人员指出，XinXin 也一直在使用Darcula v3平台进行运营，这表明这两个 PhaaS 平台之间存在潜在联系。

Lucid 的订阅通过专用 Telegram 频道（2,000 名成员）销售，客户可以按周通过许可证获得访问权限。

大规模网络钓鱼行动

该组织声称每天通过富通信服务 (RCS) 或 Apple iMessage 发送 100,000 条短信钓鱼消息，这些消息经过端到端加密，可以逃避垃圾邮件过滤器。

Prodaft 解释道：“该平台采用自动攻击传送机制，部署可定制的网络钓鱼网站，主要通过基于短信的诱饵进行分发。”

“为了提高效率，Lucid 利用 Apple iMessage 和 Android 的 RCS 技术，绕过传统的短信垃圾邮件过滤器，并显著提高投递率和成功率。”

除了逃避监管之外，使用这些短信还能使行动更具成本效益，因为发送同等数量的短信可能会产生相当大的成本。

Lucid 运营商使用大规模 iOS 和 Android 短信群发设备发送短信。对于 iMessage，Lucid 使用临时 Apple ID。对于 RCS，攻击者利用运营商特定的发送者验证实施攻击。

用于向目标发送垃圾邮件的群发器设备，资料来源：Prodaft

在 Prodaft 分享的视频中，您可以看到攻击者在行驶的汽车上开展网络钓鱼活动，可能是为了提高运营安全性并展示该平台的易用性。

Prodaft 告诉 BleepingComputer：“从驾驶的车辆中发送网络钓鱼信息的主要目的是表明个人可以多么容易参与此类操作。”

一些参与者可能会被低风险、低利润的垃圾邮件活动所吸引，这些活动只需要最低限度的技术技能或基础设施——通常依靠虚拟化工具或重新利用的物理设备来大规模自动传递消息。

移动网络钓鱼信息通常冒充运输、税务警报或错过的通行费支付，具有自定义徽标/品牌、适合目标人群的语言以及地理位置选择过滤受害者群体。

点击网络钓鱼链接的受害者会被重定向到冒充州政府收费和停车机构或私人实体的虚假登陆页面，例如 USPS、DHL、皇家邮政、FedEx、Revolut、亚马逊、美国运通、汇丰银行、E-ZPass、SunPass、伦敦交通局等。

通过 Lucid 发送的“短信钓鱼”信息样本，来源：Prodaft

网络钓鱼页面旨在窃取个人和财务信息，包括全名、电子邮件地址、实际地址和信用卡详细信息。

该平台包含一个内置信用卡验证器，因此攻击者可以测试被盗信用卡。有效信用卡要么被出售给其他网络罪犯，要么直接用于诈骗。

Lucid 等平台降低了网络犯罪活动的进入门槛，并赋予网络钓鱼尝试一定质量，从而增加了攻击者成功的机会。

当它与广泛而有弹性的基础设施相结合时，网络犯罪组织可以利用它来执行大规模和高度组织化的网络钓鱼活动。

技术报告：

https://catalyst.prodaft.com/public/report/lucid/overview

新闻链接：

https://www.bleepingcomputer.com/news/security/phishing-platform-lucid-behind-wave-of-ios-android-sms-attacks/

讲述普通人能听懂的安全故事