کارزار جهانی Smishing Triad؛ فیشینگ پیامکی در مقیاس صنعتی

مقدمه

در هفته‌های اخیر، پژوهشگران امنیت سایبری از جمله تیم‌های Unit 42 (Palo Alto Networks) و Group-IB Threat Intelligence از فعالیت شبکه‌ای پیچیده به نام Smishing Triad پرده برداشته‌اند. این گروه با بهره‌گیری از ۱۹۴ هزار دامنه مخرب (malicious domains)، موفق شده فیشینگ پیامکی (Smishing) را از یک تهدید ساده‌ی کاربرمحور به زیرساختی سازمان‌یافته در سطح جهانی تبدیل کند.

گزارش‌ها نشان می‌دهد Smishing Triad نه‌تنها به‌طور مستقیم کاربران را هدف قرار می‌دهد، بلکه با ارائه‌ی سرویس‌هایی تحت عنوان “Smishing-as-a-Service”، پلتفرمی برای سایر مجرمان سایبری ایجاد کرده تا حملات مشابه را به‌صورت خودکار اجرا کنند.

ساختار و شیوه عملکرد حملات

الگوی اصلی فعالیت Smishing Triad بر پایه‌ی ارسال انبوه پیامک‌های جعلی با موضوعاتی مانند «مشکل در تحویل بسته»، «پرداخت عوارض»، یا «خطای بانکی» است. این پیامک‌ها حاوی لینکی هستند که کاربر را به صفحه‌ای با ظاهر مشابه وب‌سایت رسمی هدایت می‌کند.

دامنه‌های مورد استفاده معمولاً ترکیبی از نام برندهای معتبر به‌همراه واژه‌های عمومی مانند secure, post, verify, update هستند؛ برای مثال:

post-checkcenter[.]net  
bank-secureverify[.]com  
parcel-delivery[.]info

در سمت سرور، صفحات فیشینگ از JavaScript-based data collectors استفاده می‌کنند تا اطلاعات حساس مانند شماره کارت، کد ملی، یا One-Time Password (OTP) را جمع‌آوری کنند. این داده‌ها از طریق encrypted API endpoints به سرورهای Command & Control (C2) ارسال می‌شوند.

زیرساخت دامنه‌ها و میزبانی

تحلیل داده‌های DNS نشان می‌دهد حدود ۶۵ درصد از دامنه‌های Smishing Triad روی زیرساخت‌های قانونی مانند AWS, Google Cloud, و Cloudflare Pages میزبانی می‌شوند.
این گروه از تکنیک bulk registration برای ثبت هزاران دامنه در بازه‌های زمانی کوتاه (اغلب زیر یک هفته) استفاده می‌کند تا ردیابی را دشوار کند.

میانگین طول عمر هر دامنه حدود ۵ تا ۶ روز است، و پس از مسدودسازی توسط نهادهای امنیتی، بلافاصله دامنه‌های جدید جایگزین می‌شوند. این روش موسوم به domain rotation یکی از نشانه‌های زیرساخت‌های فیشینگ صنعتی است.

فریم‌ورک اختصاصی فیشینگ

بررسی کدهای فاش‌شده در مخازن GitHub نشان می‌دهد Smishing Triad از یک Phishing-kit framework اختصاصی استفاده می‌کند که شامل ماژول‌های زیر است:

• Session Manager برای پیگیری وضعیت قربانی در زمان واقعی
• OTP Relay برای انتقال لحظه‌ای کدهای احراز هویت
• Admin Dashboard برای کنترل کمپین‌ها
• WebSocket Channel جهت ارسال داده به اپراتورهای انسانی

این فریم‌ورک مشابه ساختار botnet طراحی شده و قابلیت خودکارسازی کامل ارسال پیامک، دریافت داده و مدیریت کمپین را دارد.

مدل Smishing-as-a-Service

Smishing Triad علاوه بر اجرای مستقیم حملات، پلتفرمی را در دارک‌وب ارائه کرده است که به سایر گروه‌های مجرم اجازه می‌دهد کمپین‌های فیشینگ سفارشی راه‌اندازی کنند.
این سرویس شامل ابزارهای مدیریت دامنه، قالب‌های آماده برای فیشینگ برندها، و APIهایی برای ارسال انبوه پیامک از طریق gatewayهای آلوده است.

چنین مدلی باعث شده حملات فیشینگ در سال ۲۰۲۵ از حالت پراکنده و محلی به اکوسیستم سازمان‌یافته و جهانی تبدیل شود.

شاخص‌های تهدید (IOCs)

بر اساس داده‌های منتشرشده توسط Group-IB، برخی از شناسه‌های مرتبط با این کمپین عبارتند از:

• دامنه‌ها:
  • secure-update-post[.]com
  • account-reverify[.]net
  • otpservice-auth[.]org
• IP آدرس‌های مرتبط با C2:
  • 18.231.xxx.xxx (AWS São Paulo)
  • 35.221.xxx.xxx (Google Cloud Tokyo)
• User-Agent الگوهای جعلی:
  • Mozilla/5.0 (iPhone; CPU iPhone OS 15_2)
  • Dalvik/2.1.0 (Linux; U; Android 12)

تأثیر بر کاربران و سازمان‌ها

ماهیت جهانی و خودکار این حملات، تشخیص سنتی مبتنی بر لیست سیاه دامنه‌ها را بی‌اثر کرده است.
کاربران خانگی به‌ویژه در کشورهایی که سرویس‌های پستی و بانکی پیامکی فعال دارند، در معرض بیشترین خطر هستند.
در سطح سازمانی، تهدید Smishing Triad می‌تواند منجر به دسترسی غیرمجاز به داده‌های مالی، اطلاعات هویتی، و compromise در دستگاه‌های موبایل کارکنان شود.

توصیه‌های فنی برای مدیران امنیت و تیم‌های SOC

• پایش تهدیدات دامنه‌ای (Domain Monitoring): استفاده از ابزارهایی مانند dnstwist, URLScan.io, و AbuseIPDB برای شناسایی دامنه‌های مشابه.
• به‌کارگیری DMARC, SPF و DKIM: برای جلوگیری از جعل هویت دامنه‌های رسمی سازمان در پیامک‌ها.
• Network Threat Hunting: پایش الگوهای ترافیکی مرتبط با IPهای C2 مشکوک.
• آموزش کاربران نهایی: درباره‌ی روش‌های تشخیص پیامک جعلی و بررسی دقیق دامنه لینک‌ها.
• گزارش‌دهی سریع به CERT ملی یا واحدهای پاسخ‌گویی به رخدادها.

جمع‌بندی

کارزار Smishing Triad نشان می‌دهد که فیشینگ پیامکی دیگر یک تهدید ساده‌ی اجتماعی نیست؛ بلکه به مدلی صنعتی با زیرساخت خودکار و توزیع‌شده تبدیل شده است.
پیش‌بینی می‌شود این مدل در سال‌های آینده با ترکیب AI-generated content و voice phishing (vishing) پیچیده‌تر شود.
برای مقابله، تنها راه‌حل پایدار، ترکیب آگاهی انسانی، نظارت هوشمند دامنه‌ها و همکاری بین‌المللی در سطح CERT است.

منبع: Unit 42 – Palo Alto Networks، Group-IB، The Hacker News، DarkReading