„Lucid” – platforma phishingowa jako usługa (PhaaS) – umożliwia przeprowadzanie zakrojonych na szeroką skalę ataków smishingowych z niespotykaną dotąd precyzją, szybkością i skalą. Działa globalnie, uderzając w instytucje, firmy i użytkowników indywidualnych w aż 88 krajach. To, co czyni tę platformę szczególnie niebezpieczną, to nie tylko jej zasięg, lecz także łatwość obsługi i niski próg wejścia dla początkujących cyberprzestępców. Lucid oferuje narzędzia, które jeszcze do niedawna były dostępne jedynie dla doświadczonych hakerów z odpowiednią infrastrukturą. Teraz wystarczy subskrypcja, by otrzymać dostęp do ponad tysiąca aktywnych domen phishingowych, generatorów fałszywych stron oraz specjalistycznych narzędzi spamerskich. Wszystko jest gotowe do użycia – użytkownik nie musi mieć żadnej zaawansowanej wiedzy technicznej, by uruchomić własną kampanię smishingową. Sprzedaż i obsługa platformy odbywa się przez kanał na Telegramie, gdzie społeczność zainteresowanych liczy już ponad dwa tysiące osób.
Cyberatak z wnętrza kieszeni
Za rozwojem i utrzymaniem Lucida stoi chińska grupa cyberprzestępcza znana jako XinXin. Od połowy 2023 roku platforma dynamicznie się rozwija, a w ostatnich miesiącach wykorzystuje także komponenty innego znanego narzędzia – Darcula v3 – co może świadczyć o łączeniu sił między twórcami różnych platform PhaaS. W praktyce oznacza to jeszcze większą skalę zagrożenia oraz możliwość integracji z innymi narzędziami przestępczymi.
Lucid wykorzystuje protokoły komunikacyjne nowej generacji – iMessage oraz RCS – do omijania filtrów antyspamowych. Dzięki temu wiadomości phishingowe trafiają bezpośrednio do skrzynek odbiorczych ofiar, często z ominięciem jakichkolwiek ostrzeżeń. Z perspektywy użytkownika, taki SMS lub wiadomość wygląda wiarygodnie – zawiera znane logo, odpowiedni język oraz lokalne odniesienia, np. do przesyłek kurierskich, opłat parkingowych czy zaległości podatkowych. W tle tych działań działa zautomatyzowany system, który każdego dnia jest w stanie wysłać nawet 100 tysięcy wiadomości. Co ciekawe, cyberprzestępcy korzystają przy tym z całych farm urządzeń – setek telefonów z systemem iOS i Android – z których każda wiadomość wychodzi, jakby była napisana przez realnego użytkownika. W przypadku Apple iMessage wykorzystywane są tymczasowe identyfikatory Apple ID, natomiast przy RCS – luki w walidacji nadawcy, zależne od operatora. W jednym z nagrań udostępnionych przez firmę badawczą można zobaczyć, jak cyberprzestępcy operują z poruszających się samochodów – to prawdopodobnie sposób na zwiększenie bezpieczeństwa i pokazanie mobilności platformy.
Fabryka kradzieży danych
To, co odróżnia Lucid od wielu wcześniejszych narzędzi, to zintegrowany walidator kart kredytowych. Składnikiem całej układanki jest możliwość natychmiastowego sprawdzenia, czy dana karta jest aktywna. Te, które przejdą weryfikację, są następnie sprzedawane na czarnym rynku lub używane bezpośrednio do oszustw finansowych. To narzędzie nie tylko zwiększa skuteczność, ale także przyspiesza cały proces przestępczy. Wszystko to sprawia, że Lucid jest dziś jednym z najniebezpieczniejszych narzędzi w arsenale cyberprzestępców. Łączy w sobie prostotę obsługi, rozbudowaną infrastrukturę i niemal korporacyjny model działania. Dzięki temu staje się atrakcyjną opcją dla osób, które nie mają zaplecza technicznego, a chcą wejść w świat cyberprzestępczości.
