L’industrializzazione del cybercrime ha già sfornato una montagna di offerte aaS, fra cui le più famose sono ransomware e malware, ma esistono anche diverse piattaforme di phishing in formulazione aaS (phaaS, phishing-as-a-service). Una delle più recenti e innovative è denominata Caffeine, e ci sono buoni motivi per ritenerla una novità preoccupante.

Tecnicismi a parte, Caffeine ha il potere di depennare tutti gli ostacoli che finora hanno rallentato la diffusione dei servizi per il cybercrime: gli inviti per accedere ai forum del dark web che contano, l’approvazione da parte degli amministratori dei gruppi cyber, le chat di Telegram e quant’altro. Per avviare una campagna di phishing basta accreditarsi sulla piattaforma Caffeine, con una registrazione aperta e totalmente priva di vincoli.

Come funziona Caffeine

Fra i tanti utenti che si sono registrati ci sono stati anche i ricercatori di Mandiant, che hanno testato approfonditamente il servizio. Dopo essersi registrati, si accede immediatamente allo Store, che contiene una dashboard e tutti gli strumenti per la creazione di campagne di phishing. La licenza in abbonamento costa 250 dollari al mese, 450 dollari per tre mesi o 850 dollari per sei mesi. È un prezzo piuttosto alto, che supera di circa 3-5 volte quello delle piattaforme concorrenti. Ma l’investimento è giustificato dall’offerta di sistemi anti rilevamento e anti analisi, oltre all’ormai immancabile assistenza clienti.

Ci sono diverse opzioni per il phishing e alcune funzionalità avanzate. Fra queste ultime i ricercatori di Mandiant hanno segnalato i meccanismi per personalizzare gli schemi URL dinamici, che sono importanti per facilitare la generazione dinamica di pagine precompilate con informazioni specifiche della vittima. Sono offerte inoltre pagine di reindirizzamento, opzioni di blocklistING IP per il blocco geografico, e molto altro.

La piattaforma consente anche agli operatori di utilizzare la propria utility di gestione della posta elettronica basata su Python o PHP per inviare email di phishing ai propri obiettivi, riducendo la necessità di strumenti esterni.

Obiettivi e rischi

Una caratteristica singolare di Caffeine è che i suoi modelli di phishing prendono di mira piattaforme russe e cinesi, al contrario della maggior parte delle piattaforme PhaaS, che è focalizzata sulle esche per obiettivi occidentali. Non è detto che l’impostazione rimarrà tale.

Quello che conta (e soprattutto che preoccupa) è che Caffeine è un PhaaS ricco di funzionalità con una barriera all'ingresso particolarmente bassa. Significa che risponde perfettamente alle esigenze dei criminali informatici poco qualificati alla ricerca di piattaforme automatizzate per colmare le proprie lacune tecniche. Se il modello dovesse replicarsi, e se dovesse includere anche esche per l’occidente, sarebbe un grave problema con cui fare i conti.