Il gruppo cybercriminale noto come Smishing Triad è stato collegato a una vasta operazione globale di phishing che ha coinvolto oltre 194.000 domini maligni dal 1° gennaio 2024. Questi domini sono stati utilizzati per diffondere campagne smishing, ovvero attacchi di phishing veicolati tramite SMS, colpendo utenti di tutto il mondo. Secondo recenti analisi, anche se i domini sono registrati presso un registrar di Hong Kong e utilizzano nameserver cinesi, l'infrastruttura di attacco sfrutta soprattutto servizi cloud statunitensi, in particolare Cloudflare, per ospitare i siti di phishing.

Smishing Triad e le tecniche di attacco

Lo Smishing Triad è diventato tristemente celebre per l’invio massiccio di messaggi SMS fraudolenti riguardanti finte violazioni di pedaggi stradali o notifiche di mancata consegna di pacchi. L’obiettivo è spingere le vittime a cliccare su link malevoli e fornire dati sensibili come credenziali bancarie e codici di autenticazione. Le indagini mostrano che questa attività criminale è stata molto remunerativa: in soli tre anni il gruppo ha guadagnato più di un miliardo di dollari attraverso queste truffe.

Evoluzione delle strategie e nuovi obiettivi

Negli ultimi mesi, il gruppo ha evoluto le proprie tecniche, rivolgendosi in misura crescente anche a conti di brokeraggio, con un aumento di cinque volte degli attacchi a questi account rispetto all’anno precedente. La compromissione di conti viene sfruttata non solo per il furto diretto, ma anche per manipolare i prezzi di mercato attraverso tattiche di ‘ramp and dump’, lasciando pochissime tracce digitali.

L’ecosistema phishing-as-a-service

Il successo delle campagne smishing dello Smishing Triad si basa su un ecosistema phishing-as-a-service (PhaaS) molto articolato. Questo include sviluppatori di kit di phishing, broker di dati che vendono numeri di telefono delle potenziali vittime, venditori di domini, fornitori di hosting, spammer che diffondono i messaggi in massa, scanner di validità dei numeri e sistemi per eludere le blacklist.

Domini e servizi imitati

L’analisi dei domini rivela che la maggior parte viene registrata con Dominet (HK) Limited e che il 71% resta attivo per meno di una settimana, a dimostrazione della strategia di rotazione continua per evitare i blocchi. Il servizio più imitato risulta essere quello postale statunitense (USPS), seguito da banche, exchange di criptovalute, servizi di consegna, forze dell’ordine e piattaforme di e-commerce, con attacchi che colpiscono Stati Uniti, Russia, Polonia e Lituania.

La minaccia è altamente decentralizzata e in continua evoluzione, con migliaia di nuovi domini creati ogni giorno per aggirare i sistemi di sicurezza e massimizzare il successo delle campagne di phishing via SMS.