攻击者利用Frappo新型网络钓鱼即服务，窃取客户数据

据外媒网站报道，网络安全研究人员最近发现名为Frappo的新型地下网络犯罪服务，通过网络钓鱼即服务的形式，使不法分子能够托管和生成以假乱真的网络钓鱼页面，并利用这些页面对网络银行、电子商务、流行零售商来窃取客户数据。

2021年3月22日，这项服务出现在暗网上，并且有过升级，最后一次更新是在今年的5月1日。此外Frappo也积极利用Telegram 进行宣传，拥有将近2000人的活跃群组，网络犯罪分子就在群里交流各种成功的攻击经验。

通过Frappo，网络犯罪分子对被盗数据进行加密格式处理，具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划，它降低开发网络钓鱼工具包的成本，并被广泛应用于更大范围。

网络钓鱼页面的部署过程完全自动化，Frappo利用一个预先配置的 Docker 容器和一个安全通道，通过 API 收集受损的凭证。 正确配置Frappo后，将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证，包括有关每个受害者的详细信息，例如 IP 地址、用户名、密码等。

据悉，这些网络钓鱼页面做到很逼真，同时还包含诱骗受害者输入授权凭证的交互式场景。

Frappo新型网络钓鱼即服务的出现，说明犯罪分子一直利用先进的工具和技术对消费者进行网络攻击，互联网技术不断发展进步，不法分子进行网络攻击的手段也更加先进。只有不断提升网络安全意识，做好网络安全防护措施，保护好数字身份信息，才能确保在线网络安全。