Abnormal AI ने ATHR की जानकारी दी: $4,000 का voice-phishing platform Google, Microsoft, Coinbase के नकली emails और AI TTS callbacks के साथ

Abnormal AI के security researchers ने इस हफ्ते ATHR पर विवरण प्रकाशित किए, एक voice-phishing platform जो cybercrime networks के माध्यम से बेचा जाता है और एक single-operator घोटाला operation को $4,000 upfront plus जो भी customer चुराए उसका 10% हिस्सा में पैकेज करता है। दिलचस्प बात यह है कि platform क्या automate करता है और वह स्पष्ट रूप से क्या automate नहीं करता, क्योंकि design choices बताते हैं कि defender side कहां सबसे कमजोर है।

Pipeline को email-based detection को evade करने के लिए designed किया गया है। ATHR Google, Microsoft, Coinbase, Binance, Gemini (the exchange), Crypto.com, Yahoo, और AOL के लिए brand-specific email templates भेजता है। Templates casual inspection और technical authentication checks पास करने के लिए designed हैं। महत्वपूर्ण रूप से उनमें कोई links नहीं और कोई attachments नहीं हैं, केवल एक phone number। वह design URL scanners, attachment scanners, और inbox-level heuristics के बहुमत को sidestep करता है जो मानते हैं कि phishing clickable payloads में रहती है। Follow-up वह जगह है जहां AI अपना काम करता है। जब target call back करता है, एक custom text-to-speech engine एक structured, multi-step script चलाता है जो उन्हें एक fabricated "security scenario" के माध्यम से चलाता है जो six-digit verification codes harvest करने के लिए designed है। Operators live calls monitor कर सकते हैं, targets को credential-harvesting web panels पर redirect कर सकते हैं, या human agent को hand off कर सकते हैं। एक browser-based dashboard operator को location, timestamps, और IP addresses जैसे lure parameters tweak करने देता है credibility बढ़ाने के लिए mid-campaign।

Economic model वह हिस्सा है जिस पर बैठना है। $4,000 startup capital के साथ एक-व्यक्ति operation अब वह चला सकती है जो एक साल पहले एक छोटे call center की आवश्यकता थी। Platform का 10% हिस्सा एक SaaS revenue share है जो platform operator के incentives को phisher की success rate के साथ align करता है, एक pattern जो हमने पहले से ransomware-as-a-service और malware-as-a-service में देखा है लेकिन यहां एक अलग attack surface पर लागू किया गया है। Brand list उल्लेखनीय है: impersonated आठ entities में से सात login-adjacent services हैं — email side पर Google, Microsoft, Yahoo, AOL; crypto side पर Coinbase, Binance, Gemini, Crypto.com। ये वे accounts हैं जहां छह-अंकीय verification code कुछ ऐसा unlock करता है जो चुराने लायक है। No-links design defender की सबसे कठिन समस्या है: email security stacks URLs और attachments scan करने के लिए बनाए गए हैं, उनकी अनुपस्थिति को flag करने के लिए नहीं।

अगर आप एक platform चलाते हैं जो users को legitimate security alerts भेजती है, दो चीजें सोचने के लिए। एक, आपके अपने email templates spoofs के लिए training data हैं; आप जो भी distinctive करते हैं (एक विशिष्ट CTA phrasing, एक particular header design, एक verification phone number pattern) copy और weaponize किया जाएगा। दो, "no links, just a phone number" अब एक adversarial template है, red flag नहीं। User education जो अभी भी "suspicious links पर click न करें" कहती है बात से चूक जाती है। आपके users को अब जिस सलाह की ज़रूरत है वह सरल और पुरानी है: कभी भी उस email से phone number पर call न करें जो किसी ऐसी कंपनी से होने का दावा करता है जिसके साथ आप business करते हैं। उनकी website पर दिए नंबर पर call करें। Abnormal AI ने indicators of compromise या active law enforcement action disclosed नहीं की, और investigation ने specific volume numbers reveal नहीं किए। वे आएंगे।