关于网钓即服务(特别的是,过去资安业者虽然频繁揭露PhaaS平台的资讯,让我们可以大致了解,攻击者可选择使用现成现成的网路钓鱼工具包(Phishing Kit),或直接租用PhaaS犯罪平台的服务。然而,戴辰宇这次揭露的内容,超越了我们既有的认知,进一步揭示了这个网路犯罪生态系中更多隐密且细致的层面。
以信用卡盗刷的攻击环境建置而言,戴辰宇分析出3种不同型态:
第一种是No PhaaS,攻击者可以全都自己架构,以自建方式来搭建鱼塘攻击环境。
但如果没技术或想省时间,可选择租用PhaaS。
第二种是Half PhaaS,戴辰宇表示,这如同提供半套服务租赁,提供如同AppStore源码商店的平台环境,还会持续更新Phishing Kit。
第三种是Full PhaaS,也就是提供全套租赁服务,不只提供Phishing Kit,连网钓使用的网域、VPS虚拟主机都提供,让租用的攻击者直接拿到一个后台网址,快速建立一个鱼塘攻击环境。