Google araştırmacıları, Çinli siber suçluların kimlik avı operasyonlarında önemli bir dönüşüm yaşandığını duyurdu. Artık statik şifre toplama sayfaları yerine, gerçek zamanlı kimlik bilgisi ele geçirme ve tokenizasyon yöntemleri kullanılıyor. Bu yeni nesil phishing-as-a-service (PhaaS) platformları, özellikle SMS tabanlı kimlik avı (smishing) kitleriyle dikkat çekiyor. Google'ın Kasım 2025'te dava açtığı 'Lighthouse' kiti, bu ekosistemin sadece küçük bir parçası. Google Threat Intelligence Group (GTIG), Çin yeraltı dünyasında en az bir düzine aktif PhaaS hizmeti tespit etti.
GTIG raporuna göre, Çinli dildeki kimlik avı hizmetleri, Rusya merkezli rakiplerine kıyasla çok daha geniş bir hedef kitlesine yöneliyor. Rus gruplar genellikle büyük kuruluşları hedef alırken, Çinli gruplar fırsatçı bir yaklaşımla genel halkı hedef alıyor. İlginç bir şekilde, bu hizmetler tarafından taklit edilen kuruluşların neredeyse tamamı Çin dışındaki şirketler. En çok hedef alınan ülkeler arasında Japonya, ABD, Avustralya, Hong Kong ve Birleşik Arap Emirlikleri bulunuyor.
Çinli operatörleri farklı kılan en önemli taktiklerden biri, geleneksel SMS yerine şifreli mesajlaşma protokollerini kullanmaları. RCS (Rich Communication Services) ve Apple iMessage gibi uçtan uca şifreli protokoller, kimlik avı bağlantılarının tespit edilmesini zorlaştırıyor. Ayrıca, okundu bilgisi, yüksek çözünürlüklü medya ve yazma göstergeleri gibi özellikler, sahte mesajların daha inandırıcı görünmesini sağlıyor. GTIG, gerçek zamanlı kimlik bilgisi ele geçirmeye yönelik bu geçişin altını çiziyor: Saldırganlar, canlı yönetim panelleri aracılığıyla kurbanlarla etkileşime geçerek tek kullanımlık şifreleri (OTP) anında yakalayabiliyor ve çok faktörlü kimlik doğrulamayı (MFA) aşabiliyor.
Saldırganlar, ele geçirilen ödeme bilgilerini dijital cüzdan sağlama yoluyla paraya çeviriyor. Yakalanan kimlik bilgileri ve OTP'ler kullanılarak kurbanların kartları, saldırganların cihazlarındaki dijital cüzdanlara ekleniyor; böylece yüksek değerli işlemler, temassız ödemeler ve ATM para çekme işlemleri gerçekleştirilebiliyor. Bazı platformlar, hisse senedi manipülasyonu ve havale dolandırıcılığı için aracı kurum temalı şablonlar sunuyor. GTIG ayrıca, Darcula PhaaS platformu gibi yapay zeka destekli sayfa oluşturucuların kullanımının arttığını belirtiyor. Bu araçlar, meşru web sitelerinin HTML, CSS, JavaScript ve görsel öğelerini kopyalayarak her seferinde benzersiz kimlik avı sayfaları oluşturuyor; böylece geleneksel imza tabanlı tespit yöntemleri etkisiz hale geliyor.