近年来,攻击者变得越来越专业,他们钻研技能,以求犯更少的关键错误,并创建了各种即插即用业务,帮助低技能的攻击者发起诈骗和攻击。
目前存在不同类型的攻击服务,包括恶意软件即服务,攻击者开发并向其他攻击者出售恶意软件服务,该服务还包括在被攻击的主机上创建和传播勒索软件等恶意软件类型。同时,其他服务需要使用多个社交媒体帐户才能成功进行,例如虚假信息、垃圾邮件和恶意软件传播。
事实上,攻击者在社交媒体平台上使用数千个账户发送数千条垃圾邮件并不罕见。但是他们是如何做到自动化的呢?
最近,Kopeechka服务出现,促进了依赖大规模社交媒体垃圾邮件的攻击活动。在俄语中,“kopeechka”的意思是“便士”。
该服务自2019年初以来一直活跃,为流行的社交媒体平台提供简单的账户注册服务,包括Instagram、Telegram、Facebook和X(以前的Twitter)。我们还注意到,针对未成年人的聊天网站可以通过Kopeechka进行注册。
本文介绍了Kopeechka服务,并对该服务的特性和功能进行了详细的技术分析,以及它如何帮助攻击者实现其目标。
大多数社交媒体平台都采取了积极措施来加强账户创建的安全性。由于许多攻击者在社交媒体平台上创建账户用于非法活动,社交媒体公司为了将攻击者在其平台上的风险降至最低,故选择从账户创建过程开始。
有不同的安全措施来保护平台,防止欺诈账户的创建,例如:
1.电子邮件地址验证。注册时,用户需要证明所提供的电子邮件地址是否存在,这通常是通过代码确认完成的,其中用户通过电子邮件接收唯一的URL或代码。一旦他们选择这个链接或输入代码,他们的帐户就会被验证。
2.电话号码验证。这里的目标是迫使用户提供一个可以由社交媒体平台验证的真实电话号码,通常是通过发送一条带有用户需要在平台上输入的代码的文本消息。
3.验证码保护。尽管存在不同类型的captcha,但目标始终是相同的:验证用户是真人而不是机器人。通常情况下,用户需要回答自动解决程序无法回答的问题。
4.IP地址信誉。这里的目标是确定用户的IP地址是否干净,并且不是来自代理、虚拟专用网络(VPN)或任何其他匿名解决方案。
根据目标社交平台的不同,攻击者需要唯一的电子邮件地址、唯一的电话号码和无可疑的IP地址才能成功创建自己的账户。
虽然一些社交媒体平台使用验证码来阻止自动注册,但这并没有给攻击者带来很大的障碍,因为现在存在不同的服务,允许攻击者以自动方式绕过验证码。IP地址检查服务也是如此,因为攻击者可以使用住宅代理绕过这些措施。
因此,攻击者可以使用自动脚本绕过验证码和IP地址信誉检查工具。但是,他们仍然需要一个有效的电子邮件,可能还需要为他们想要创建的每个帐户提供一个电话号码,这就需要用到Kopeechka了。
Kopeechka不提供电子邮件收件箱的访问权限,但它可以访问从社交媒体平台收到的电子邮件。该服务的设计使邮箱帐户仍然由Kopeechka控制,而不是由任何第三方用户控制。
Kopeechka提供两种不同类型的电子邮件:使用自己域名的电子邮件地址,以及托管在更受欢迎的电子邮件托管服务上的电子邮件地址。
Kopeechka表示它当前库存的有效电子邮件数量,如表1所示:
截至2023年5月底,Kopeechka库存的有效电子邮件地址数量
目前,这些电子邮件地址要么是由Kopeechka使用者自己创建的,要么可能是被攻击的电子邮件收件箱。Kopeechka还购买电子邮件帐户,如下图所示:
Kopeechka购买电子邮件地址可能用于非法用途
在撰写本文时,该服务还提供了托管在其拥有的39个域名中的几个电子邮件地址。
Kopeechka的电子邮件域名
Kopeechka(图2)与流行域名(表1)的定价不同,后者比前者更昂贵(在撰写本文时,Kopeechka域名的成本为0.05卢布或0.0005美元,一些流行域名的成本高达卢布1或0.01美元)。
Kopeechka为其客户提供web界面和API
Kopeechka的网络界面,如Kopeechka的宣传视频所示
如上图所示,web界面允许用户使用购买的电子邮件地址轻松创建社交媒体帐户,而API使用户更容易自动创建多个社交媒体帐户。
对于Kopeechka目前还无法搜索的社交媒体平台,用户可以使用Kopeechka的API。
用户如何通过使用Kopeechka API在新的社交媒体平台上获得一个有效的帐户
下载
所有这些过程都可以完全自动化,这可以让攻击者在几秒钟内创建数百个甚至更多的账户,只要他们的Kopeechka账户里有足够的钱。
无法访问实际的邮箱
Kopeechka实际上不提供访问实际邮箱的权限。当用户请求邮箱创建社交媒体帐户时,他们只能获得电子邮件地址参考和包含确认码或URL的特定电子邮件。这对于Kopeechka服务至关重要,因为它允许Kopeechka使用者使用一个电子邮件地址在不同的社交媒体平台上进行多次注册,如下图所示:
在不同的社交媒体平台上多个用户可以使用一个唯一的电子邮件地址创建账户
某些社交媒体平台还包括一个帐户验证步骤,需要一个电话号码,他们将使用该电话号码发送包含唯一代码的短信,用户需要在平台上输入代码才能成功注册。
为了解决这个问题,Kopeechka允许用户从16种不同的在线短信服务中进行选择。与它的所有服务一样,Kopeechka提供了视频教程,以及每种服务的描述及其工作原理。
Kopeechka与16种不同的在线短信服务合作
除了宣传其服务外,Kopeechka还通过不断与用户沟通和提供服务发生的任何事情(包括网络问题和bug通知)的透明度来培养客户忠诚度。Kopeechka提供提示,完整的教程,甚至补偿它的客户。
Kopeechka使用者与他们的客户就最近修复的漏洞进行了沟通,并为客户的损失提供了赔偿。
总而言之,Kopeechka似乎在处理客户沟通方面采取了专业的方法,它使用了一种名为Bitrix24的客户关系管理(CRM)工具来满足其销售、营销和项目管理需求。Kopeechka使用该软件的原因可能是,Bitrix24每个客户使用了一个子域,我们发现了一个现有的“kopeechkstore . Bitrix24 .ru”子域,该子域至少自2019年以来一直活跃。
Kopeechka还提供在线视频、常见问题解答(FAQ)和描述该服务如何工作的专用页面。客户可以在该平台的客户培训中心这里测试自己的账户创建和日志记录技能这让用户可以免费试用这项服务。
培训中心主页的英文截图
Kopeechka还提供了一个正则表达式测试平台,它可以更好地匹配电子邮件中的文本,以防用户订阅特殊的服务。
对于那些想要自动化账户注册过程,但又不熟练使用API的用户,Kopeechka鼓励他们使用第三方俄罗斯服务ZennoPoster,该服务自2011年以来一直很活跃。
Kopeechka鼓励用户使用ZennoLab,并将给他5%的退款,ZennoPoster是ZennoLab的产品。
ZennoPoster允许用户通过像脚本一样在浏览器上执行多次操作来自动执行浏览器操作,Kopeechka用户可以使用ZennoPoster作为自动注册系统。
ZennoPoster工具用于自动浏览操作的屏幕截图
几个在线话题解释了如何使用ZennoPoster和Kopeechka在不同的社交媒体平台上注册帐户,其中一个示例是使用ZennoPoster和Kopeechka在俄罗斯约会网站“mylove.ru”上创建一个帐户。
Kopeechka提供了使用ZennoPoster注册mylove.ru帐户的支持
ZennoPoster的开发者ZennoLab销售数十种与社交媒体平台和其他在线网站互动相关的自动化任务。其中一个自动化任务是X(以前的Twitter)的脚本,它将通过X帐户并向其所有关注者发送消息。因此,这个帐户可以用来发送垃圾邮件。
ZennoLab还提供其他可能被攻击者滥用的产品
ZennoLab也有CAPTCHA识别和代理搜索或检查服务。
值得注意的是,Kopeechka鼓励用户使用ruCaptcha验证码解决服务,并提供5%的退款。
Kopeechka通过提供5%的退款来推广RuCaptcha服务
Kopeechka还为开发者和用户提供了一个协作计划。虽然在软件中使用Kopeechka API的开发者可以获得销售额的10%,但通过附属链接说服更多人使用Kopeechka的用户可以获得每个新用户在Kopeechka上消费金额的10%。
上传二手邮件的用户也将获得邮件销售额的一定提成。
Kopeechka的附属项目
在地下论坛宣传这项服务
自2019年2月成立以来,Kopeechka一直在宣传自己的服务,每次更新后,Kopeechka都会定期更新其在攻击者论坛上的广告线索。
攻击论坛上Kopeechka更新的帖子
目前,Kopeechka的俄语Telegram频道有大约1000名订户,英语Telegram频道有440名订户。
除了在攻击者的地下论坛上做广告外,Koppechka的使用者似乎也对寻找漏洞很感兴趣。可以在不同的论坛上看到很多使用Kopeechka这个名字的人,他们对利用漏洞进行攻击很感兴趣。在许多论坛上,攻击者只与那些回复相关主题的人分享内容,这使得识别Kopeechka使用者感兴趣的内容变得容易。此外,Kopeechka使用者有时也会就这些论坛上宣传的产品或服务提出问题。
2022年6月,一名用户在论坛上发布了一则广告,介绍了一个据称可以绕过Gmail的漏洞。一位名为kopeechka的用户在2023年3月回复了关于这个漏洞的问题,并询问它是否仍然是最新的。
在另一个论坛上,一位名叫Kopeechka的用户回复了关于如何破解包括Spotify、Netflix、Steam在内的社交媒体账户的帖子,以及关于使用Black Bullet和一款名为OpenBullet的免费网络测试软件的帖子。
2020年,Kopeechka使用者还在一个论坛上发帖,请求帮助制作“一批不广泛使用的文件,其保护与文凭大致相同”。虽然不知道他们想要提供什么样的文件,但这个请求很可疑,因为它背后的目的可能是提交虚假文件,以满足各种服务提供商或管理部门的要求。
Kopeechka几乎可以用于任何需要处理帐户注册的服务。
在调查最近的一次大规模加密货币骗局时,我们报告了对Mastodon社交网络的滥用,突然发现数百个新账户被创建,向Mastodon用户推广虚假加密货币网站。Brian Krebs在今年早些时候讨论了Kopeechka服务是如何被用来大规模注册Mastodon账户的。
Mastodon 是一个免费的开源社交网络程序,一个商业平台的替代方案,避免了单个公司垄断你沟通的风险。选择你信任的服务器,无论选择的是哪个,你都可以与其他人进行互动。
机器人还使用Kopeechka来轻松创建帐户。目前已经可以看到通过Kopeechka API创建社交媒体帐户的代码,包括Discord, Telegram和Roblox帐户的脚本。
在线提供一个Discord帐户生成器代码
Kopeechka上的一个自动kick.com帐户生成器
一名攻击者以每月50美元的价格出售在Kopeechka创建的Reddit账户
出售使用Kopeechka创建的coinmarketcap(加密货币市场网站)账户,售价150美元
此外,发现的可用于创建VirusTotal帐户的Python脚本,表明一些用户可能会注册这些帐户以测试恶意软件检测。
根据观察,Kopeechka越来越受攻击欢迎,在其上面买卖更有保障。
官方的Kopeechka API本身是大规模提供的,允许它集成到任何类型的代码中。它存在于大多数开发人员的平台上,包括Python包索引(PyPI)、NuGet、GitHub和npm。
Kopeechka的服务可以提供一种简单而实惠的方式来大规模创建在线账户,这对攻击者很有帮助。Kopeechka的客户使用这项服务可以轻松创建大量账户,而无需短信和电子邮件验证。
虽然Kopeechka主要用于创建多个账户,但攻击者也可以使用它来为自己的活动增加一定程度的匿名性,因为他们不需要使用自己的电子邮件地址在社交媒体平台上创建账户。
为此,只有电子邮件服务提供商共同协作,加强他们的注册流程,才能解决Kopeechka问题。不过,这一努力可能通过人工智能来实现,人工智能可以提供检测自动账户注册的方法。
参考及来源:
https://www.trendmicro.com/en_us/research/23/j/how-kopeechka--an-automated-social-media-accounts-creation-servi.html