Operacja związana z LabHost — platformą, która przez niemal trzy lata oferowała phishing jako usługę, działając niemal jawnie, mimo skomplikowanych mechanizmów działania, zyskała ogromny rozgłos. W kwietniu 2024 roku została rozbita przez międzynarodowe służby, a teraz FBI ujawnia jej cyfrowy ślad: ponad 42 tysiące domen wykorzystywanych do ataków. To bezprecedensowy krok, który nie tylko dokumentuje skalę procederu, ale staje się cennym źródłem wiedzy dla zespołów ds. cyberbezpieczeństwa na całym świecie. Domeny, które teraz trafiły do publicznego obiegu, były rejestrowane od końca 2021 roku aż do momentu likwidacji platformy. To one stanowiły cyfrowe przynęty, podszywając się pod banki, instytucje finansowe i inne zaufane podmioty. Przez te strony przestępcy przechwytywali loginy, hasła i dane kart kredytowych, wykorzystując zautomatyzowane systemy, które potrafiły ominąć dwuetapowe uwierzytelnianie i prowadzić rozmowę z ofiarą w czasie rzeczywistym — włącznie z wysyłaniem SMS-ów. LabHost działał na zasadzie subskrypcji. Dostęp do platformy można było wykupić, płacąc miesięcznie od niespełna 200 do 300 dolarów. W zamian cyberprzestępcy otrzymywali gotowe szablony, infrastrukturę, wsparcie techniczne i narzędzia analityczne. W szczytowym momencie działalności LabHost obsługiwał około 10 tysięcy klientów. Szacuje się, że przez jego ręce przeszło ponad milion danych logowania i niemal pół miliona numerów kart płatniczych.
Międzynarodowa akcja i aresztowania
Rozbicie LabHost było efektem międzynarodowej współpracy organów ścigania. Skoordynowana akcja prowadzona równocześnie w 19 krajach doprowadziła do przeszukań w 70 lokalizacjach i zatrzymania 37 osób. Choć platforma została wyłączona, jej cyfrowy ślad pozostaje żywy — a lista domen, którą udostępniło FBI, pokazuje skalę zjawiska w detalach. Amerykańskie Biuro Śledcze zaznacza jednak, że ujawnione informacje mają charakter historyczny. Domeny mogą nie być obecnie wykorzystywane do ataków, niektóre mogą też zawierać błędy wynikające z literówek czy niepoprawnych wpisów samych przestępców. Co więcej, analiza tej listy może prowadzić do odkrycia kolejnych domen, które korzystały z tej samej infrastruktury — co oznacza, że lista nie wyczerpuje tematu, a jedynie go otwiera.
Nowe narzędzie w rękach obrońców
Z punktu widzenia firm zajmujących się cyberbezpieczeństwem ujawnienie tych danych to bezcenna szansa. Po pierwsze, pozwala zidentyfikować potencjalne zagrożenia i stworzyć aktualne listy blokujące, co może zapobiec rejestracji tych samych domen w przyszłości. Po drugie, umożliwia analizę wzorców stosowanych przez operatorów platform typu PhaaS, czyli phishing-as-a-service, co może pomóc w lepszym wykrywaniu podobnych kampanii w przyszłości. Dla zespołów IT i specjalistów zajmujących się bezpieczeństwem sieciowym lista ta może być źródłem do retrospektywnych analiz dzienników i logów — zwłaszcza z lat 2021–2024. To okazja do wykrycia połączeń, które wcześniej mogły ujść uwadze, a dziś mogą okazać się punktem wyjścia do identyfikacji kompromitacji danych. Rozsądne jest również traktowanie tej listy jako narzędzia szkoleniowego. Realistyczne domeny phishingowe, które faktycznie były używane w atakach, mogą posłużyć do trenowania systemów wykrywania zagrożeń — zarówno tych opartych na regułach, jak i modeli uczenia maszynowego.
