Новая платформа киберпреступности под названием ATHR способна похищать учетные данные посредством полностью автоматизированных голосовых фишинговых атак, использующих как операторов-людей, так и агентов на базе ИИ для этапа социальной инженерии.
Вредоносная операция рекламируется на подпольных форумах за 4000 долларов США плюс 10% комиссии от прибыли и может красть данные для входа в различные сервисы, включая Google, Microsoft и Coinbase.
Автоматизация охватывает все этапы доставки телефонно-ориентированных атак (TOAD): от заманивания жертв по электронной почте до проведения голосовой социальной инженерии и сбора учетных данных аккаунтов.
Цепочка атак ATHR
По данным исследователей из компании Abnormal, специализирующейся на безопасности облачной электронной почты, ATHR представляет собой полноценный генератор фишинговых/вишинговых атак, предлагающий шаблоны электронных писем с привязкой к бренду, индивидуальную настройку под конкретную цель и механизмы спуфинга, чтобы сообщение выглядело так, будто оно отправлено доверенным отправителем.
На момент проведения анализа исследователи обнаружили, что ATHR поддерживает восемь онлайн-сервисов: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo и AOL.
Атака начинается с того, что жертва получает электронное письмо, составленное так, чтобы пройти как обычную проверку, так и техническую аутентификацию.
“Приманкой обычно служит фальшивое уведомление о безопасности или уведомление об аккаунте — что-то достаточно срочное, чтобы спровоцировать телефонный звонок, но достаточно общее, чтобы избежать срабатывания фильтров по контенту”, — отмечается в сегодняшнем отчете Abnormal.
Звонок по номеру телефона, указанному в письме, перенаправляет жертву через Asterisk и WebRTC к голосовым агентам на базе ИИ, управляемым тщательно проработанными подсказками, которые направляют жертву в процессе кражи данных.
Агенты следуют многоступенчатому сценарию, имитирующему инцидент безопасности. Для учетных записей Google они воспроизводят процесс восстановления и верификации аккаунта, используя заранее заданные подсказки, которые формируют их тон, подход, персону и поведение, чтобы имитировать профессиональный персонал службы поддержки.
Цель фальшивого процесса восстановления — извлечь шестизначный проверочный код, который позволяет злоумышленнику получить доступ к аккаунту жертвы.
Хотя ATHR и предлагает возможность перенаправить звонок на оператора-человека, именно возможность использования агента на базе ИИ выделяет эту платформу.
Панель управления ATHR предоставляет операторам контроль над всем процессом и данные в реальном времени по каждой атаке на конкретную цель.
Через панель ATHR они управляют рассылкой электронной почты, обрабатывают звонки и координируют фишинговые операции, отслеживая результаты в реальном времени и получая журналы, содержащие украденные данные.
Исследователи Abnormal предупреждают, что ATHR значительно снижает ручные усилия для оператора и предоставляет злоумышленникам интегрированную платформу, способную обрабатывать все этапы атаки TOAD без необходимости настраивать отдельные компоненты.
Это позволяет менее технически подкованным злоумышленникам без собственной инфраструктуры развертывать автоматизированные вишинговые атаки от начала до конца.
“Переход от фрагментированной, трудоемкой операции к продуктовому, в значительной степени автоматизированному решению означает, что атаки TOAD больше не требуют больших команд или специализированной инфраструктуры”, — предупреждает Abnormal.
С ростом числа киберпреступных платформ, подобных ATHR, исследователи ожидают, что вишинговые атаки станут более частыми и их будет сложнее отличить от легитимных коммуникаций.
Защита от таких атак требует иного подхода, поскольку электронные письма-приманки не содержат надежных индикаторов, настроены на корректную аутентификацию и выглядят как действительные уведомления.
Однако обнаружение возможно путем проверки поведенческих паттернов коммуникации между отправителем и получателем и выявления случаев, когда аналогичные приманки с телефонным номером поступали в организацию в течение короткого промежутка времени.
Исследователи Abnormal утверждают, что моделирование нормального поведения коммуникаций в масштабах организации может помочь системам обнаружения на базе ИИ выявлять аномалии до того, как цели совершат звонок.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
