افبیآی و گوگل سرویس فیشینگ چینی مبتنی بر هوش مصنوعی Outsider Enterprise را که پشت ۱.۹ میلیارد دلار کلاهبرداری بود، منهدم کردند
یک عملیات هماهنگ توقیف که توسط افبیآی، گوگل و Black Lotus Labs انجام شد، Outsider Enterprise را مختل کرد؛ یک پلتفرم PhaaS (فیشینگ به عنوان سرویس) با مدیریت چینی که کیتهای فیشینگ تولید شده با هوش مصنوعی را در اختیار مشتریان مجرم در سراسر جهان قرار میداد، به گزارش BleepingComputer. این پلتفرم که از حداقل سال ۲۰۲۳ فعال بود، به یکی از صنعتیترین عملیات جرایم سایبری ثبتشده تبدیل شد و دامنه آن به ۹ هزار وبسایت جعلی، بیش از یک میلیون URL تقلبی و حدود ۱.۹ میلیارد دلار خسارت مالی گسترش یافت.
فیشینگ به عنوان سرویس چیست و چرا هوش مصنوعی آن را خطرناک میکند
فیشینگ سنتی برای راهاندازی وبسایتهای جعلی قانعکننده و توزیع پیامهای فریبنده به مهارت فنی نیاز داشت. عملیات PhaaS این محاسبه را کاملاً تغییر میدهد: یک مجرم میتواند در یک پلتفرم مشترک شود، یک کیت فیشینگ آماده که از یک برند معتبر تقلید میکند دریافت کند و ظرف ساعاتی حملات را آغاز کند — بدون نیاز به کدنویسی. Outsider Enterprise این مدل را با استفاده از کیتهای فیشینگ تولید شده با هوش مصنوعی که میتوانستند به سرعت ظاهر و حس خدمات بانکی، خردهفروشی و تحویل قانونی را کپی کنند، جلوتر برد و تشخیص این صفحات جعلی را در مقایسه با تقلیدهای دستی بسیار دشوارتر کرد.
این پلتفرم کیتهای خود را توزیع میکرد و پایگاه مشتریان مجرم خود را از طریق تلگرام هماهنگ میکرد؛ تلگرام به دلیل پیامرسانی رمزگذاریشده و همکاری محدود با مجریان قانون، به یک کانال عملیاتی ترجیحی برای بازارهای جرایم سایبری تبدیل شده است.
نحوه عملکرد عملیات
Outsider Enterprise در smishing — فیشینگ از طریق پیامک — تخصص داشت و کاربران اندروید در ایالات متحده را هدف قرار میداد. پیامکهای تقلبی از طریق زیرساخت اپراتورهای قانونی از جمله شبکههای AT&T، T-Mobile و Verizon مسیریابی میشدند که به آنها ظاهری معتبر میبخشید و بسیاری از فیلترهای اسپم طراحیشده برای شناسایی فیشینگ ایمیلی را دور میزد. مقیاس عملیات حیرتآور بود: در مه ۲۰۲۶ به تنهایی، این پلتفرم ۲.۵ میلیون پیامک را به سمت اهداف ناآگاه ارسال کرد.
زنجیره تأمین تقریباً به شرح زیر عمل میکرد:
- تولید کیت: ابزارهای هوش مصنوعی صفحات فیشینگ تولید میکردند که از برندهای شناختهشده — بانکها، شرکتهای حمل و نقل بسته، پورتالهای دولتی و پلتفرمهای تجارت الکترونیک — تقلید میکردند.
- توزیع: مشتریان مجرم کیتها و زیرساخت عملیاتی را از طریق فروشگاههای Shopify که توسط مدیران پلتفرم اداره میشد، خریداری میکردند.
- ارسال: پیامکهای smishing قربانیان را به وبسایتهای جعلی میزبانیشده در حدود ۹ هزار دامنه هدایت میکردند.
- برداشت: قربانیانی که اطلاعات پرداخت یا شخصی خود را وارد میکردند، آن اطلاعات ضبط و به سمت اپراتورهای پلتفرم ارسال میشد.
خسارت: ۳.۸ میلیون کارت، ۱.۹ میلیارد دلار ضرر
تأثیر مستند شدید است. محققان حدود ۳.۸ میلیون رکورد کارت اعتباری به سرقت رفته را به Outsider Enterprise نسبت دادند و خسارت مالی حدود ۱.۹ میلیارد دلار تخمین زده شد. این ارقام — که از سوابق ضبطشده و دادههای پرداخت به دست آمدهاند — تقریباً به طور قطع دامنه واقعی را کمتر از واقع نشان میدهند، زیرا بسیاری از قربانیان هرگز کلاهبرداری کارت را گزارش نمیدهند و ضررهای جذبشده توسط مؤسسات مالی اغلب در آمار عمومی ثبت نمیشوند.
ارسال ۲.۵ میلیون پیامک در یک ماه، سرعت عملیاتی پلتفرم را نشان میدهد. با این حجم، حتی یک نرخ تبدیل کسری به دهها هزار نفر در معرض خطر در ماه تبدیل میشود.
توقیف: هر شریک چه کرد
عملیات مختلسازی یک تلاش چندگانه بود:
- افبیآی: اقدام قانونی را رهبری کرد، سرورهای مدیریتی که ستون فقرات زیرساخت PhaaS را تشکیل میدادند توقیف کرد و یک ربات تلگرام حاوی سوابق مشتریان پلتفرم را ضبط کرد — که به طور مؤثر نقشه استفاده از سرویس را نشان میداد.
- گوگل: اطلاعات تهدید و دید زیرساختی را ارائه داد و به شناسایی شبکه دامنههای تقلبی و مسیرهای اپراتوری که برای ارسال پیامکهای smishing استفاده میشدند کمک کرد.
- Black Lotus Labs (Lumen Technologies): تحلیل سطح شبکه ارائه داد که زیرساخت بکاند پلتفرم را ردیابی کرد و به شناسایی دامنههای آماده توقیف کمک کرد.
علاوه بر توقیف سرورها، مقامات حدود ۱۰۰,۰۰۰ دلار USDT را از کیفپولهای پرداختی مرتبط با عملیات ضبط کردند و فروشگاههای Shopify که برای فروش کیتهای فیشینگ استفاده میشدند را مسدود کردند. بازدیدکنندگان دامنههای فیشینگ توقیفشده اکنون صفحات هشدار توقیف افبیآی را میبینند — یک تاکتیک استاندارد مجریان قانون برای اطلاعرسانی به قربانیان و جلوگیری از مشتریان بالقوه.
نقص: هیچ دستگیری اعلام نشده است
افشای ۱۴ ژوئن هیچ اشارهای به دستگیری ندارد. این یک شکاف قابل توجه است. توقیف زیرساخت — سرورها، دامنهها، کیفپولها — عملیات را در کوتاهمدت مختل میکند، اما بدون دستگیری و پیگرد قانونی مدیران و توسعهدهندگان پشت Outsider Enterprise، بازسازی امکانپذیر است. اپراتورهای PhaaS مجرم در گذشته پس از توقیفها، گاهی ظرف چند هفته، دوباره فعالیت خود را از سر گرفتهاند، به ویژه زمانی که از حوزههای قضایی با همکاری استرداد محدود با ایالات متحده فعالیت میکنند.
اینکه آیا دستگیریهایی تحت مهر محرمانگی در انتظار است یا هنوز رخ نداده است، نامشخص باقی میماند. اما ضبط ربات تلگرام حاوی سوابق مشتریان میتواند به محققان یک نقشه راه به سوی پایگاه کاربران پلتفرم و احتمالاً اپراتورهای آن بدهد.
پیامدها: صنعتیشدن جرایم سایبری
Outsider Enterprise یک مطالعه موردی در مورد این است که هوش مصنوعی چگونه مانع ورود به کلاهبرداری در مقیاس بزرگ را کاهش میدهد. زمانی که یک پلتفرم بتواند صفحات فیشینگ قانعکننده را به صورت تقاضایی تولید کند — به طور خودکار داراییهای برند را کپی کند، زبان را محلیسازی کند و قالبها را برای دور زدن امضاهای تشخیص بهروزرسانی کند — محدودیت در جرایم سایبری از مهارت فنی به توزیع و کسب درآمد تغییر میکند. هر دوی اینها در دنیای زیرزمینی مجرمان مسائلی به خوبی حلشده هستند.
برای افراد، نکته عملی آشناست اما ارزش تکرار دارد: با پیامکهای ناخواسته که اطلاعات پرداخت یا تأیید اعتبار درخواست میکنند، بدون توجه به اینکه صفحه لینکشده چقدر قانعکننده به نظر میرسد، به شدت مشکوک برخورد کنید. برای سازمانها، این عملیات ارزش مشارکتهای فیلتر پیامک در سطح اپراتور و نظارت بر دامنه در زمان واقعی برای شناسایی جعل برند قبل از رسیدن قربانیان به صفحات جعلی را برجسته میکند.
توقیف Outsider Enterprise قابل توجه است. اینکه آیا پایدار خواهد بود بستگی به این دارد که محققان با سوابق مشتریان ضبطشده چه میکنند — و آیا میتوانند به افراد سازنده و گرداننده پلتفرم برسند.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source