Flere phishing/smishing kits anvender populær "AntiBOT" service
Mindst tre af de grupper der angriber Danmark her i sommerferien beskytter deres ondsindede websider med en service der hedder antibot.pw. Det sker for at besværliggøre adgang til kittet og analyse af indholdet på websiden.
På websiden fremgår det at antibot.pw har følgende formål:
"You can detect and block, fake IPs that connect to your website from Hosting, Proxy, or VPN to prevent bots, fake accounts, fraudsters, suspicious transactions, malicious users and more".
Som det fremgår af kode snippet herunder så anvendes der en API nøgle, når man har registeret sig på antibot.pw, og købt deres service der bl.a. omfatter:
- AntiBOT shortlink
- AntiBOT blocker
- Inbox Testing
- AntiDispos Email
AntiBOT.pw tilbyder flere services, som tidligere nævnt. Et skærmdump af deres webside, som beskriver de forskellige services, findes herunder:
Kort fortalt, så indsættes der et script på den webside som skal beskyttes, og derigennem relayes trafik til en specifik gateway hos antibot.pw. Hvis et eller flere parametre rammer en trigger, så blokeres den IP adresse der besøger phishing siden.
Når man køber antibot.pw tjenesten, så medfølger der et webpanel, som kan tilgås med brugernavn og password fra en phishing/smishing side med henblik på at konfigurere AntiBOT.pw installationen og instillinger.
Hvis man søger whois data på Antibot.pw så forefindes der ikke brugbare data på ejerskabet men ved brug af SIE Europe pDNS kan der ses en forbindelse med den server som domænet peger på og en anden tjeneste fra samme personer rettet mod Discord: antibot.xyz:
"A bot by Vultrex Development. | Prefix: _ Anti-Bot is an Advanced automod Discord Bot with things like tags, auto responders, tickets, verification, and configuration".
Vultrex Development referencen er interessant, da det knytter en person ,
som går under dæknavnet "Tazhys" til udviklingen af begge services. Den officielle webside kan findes her: vultrex.dev. Derfra er det ikke vanskeligt at finde pågældendes navn og yderligere oplysninger.
QR beskyttelsen er omgået
De grupper, der laver angreb mod Danmark, har allerede omgået QR kode beskyttelsen, som blev implementeret i MitID som en ekstra sikkerhedsanforstaltning. Det sker ved at simulere trafik, der ikke gør det nødvendigt, at påkræve, at der scannes en QR kode. Alle disse kits laver MiTM (Man in the Middle) hvor de placerer sig mellem ofret og MitID igennem den skadelige webside.
Der er tre kommercielle kits - og måske endda flere som behændigt omgår QR sikkerhedskoden. De to er udviklet i Rusland, og det som anvendes mest her i sommerferien, stammer fra Tyrkiet. Der gøres brug af to forskellige metoder.