據Security affairs網站5月10日消息，網絡安全機構Resecurity近期發現了一項名為Frappo的新型地下網絡犯罪服務，以網絡釣魚即服務(PHaaS)的形式，使網絡犯罪分子能夠托管和生成以假亂真的網絡釣魚頁面，這些頁面主要針對網絡銀行、電子商務、流行零售商和在線服務來竊取客戶數據。

這項服務最早于2021年 3 月22 日左右出現在暗網上，之后有過重大升級，最后一次更新是在 2022 年 5 月 1 日。除了暗網，Frappo也積極利用Telegram 進行宣傳，擁有一個將近2000名活躍成員的群組，網絡犯罪分子們在這就各種成功的攻擊經驗展開交流。

Frappo賦予網絡犯罪分子以匿名和加密格式處理被盜數據的能力，具備匿名計費、技術支持、憑證搜集和追蹤等功能。Frappo根據他們選擇的訂閱期限為網絡犯罪分子提供了幾種付款計劃，就像為合法企業提供基于 SaaS 服務的平臺一樣，Frappo允許網絡犯罪分子最大限度地降低開發網絡釣魚工具包的成本，并在更大范圍內得到運用。

值得注意的是，網絡釣魚頁面的部署過程完全自動化，Frappo利用一個預先配置的 Docker 容器和一個安全通道，通過 API 收集受損的憑證。 正確配置Frappo后，將會對搜集到的數據可視化——例如有多少受害者打開了網絡釣魚頁面、授權或輸入憑據、正常運行時間和服務器狀態。日志部分將顯示這些憑證，其中包含有關每個受害者的詳細信息，例如 IP 地址、用戶名、密碼等。

根據Resecurity的觀察，這些網絡釣魚頁面的逼真度很高，其中包含誘騙受害者輸入授權憑證的交互式場景。Frappo的出現表明，網絡犯罪分子一直在利用先進的工具和技術來發動攻擊，數字身份信息的保護已成為在線網絡安全的關鍵。

參考來源：https://securityaffairs.co/wordpress/131136/cyber-crime/frappo-phishing-as-a-service.html