Потужна форма цільової фішингової атаки, під час якої зловмисники атакують осіб, які обіймають авторитарні або керівні посади в організації.
993 
У статті обговорюється, як китайські кіберзлочинці використовують фішингові атаки для отримання даних платіжних карток, додають їх до мобільних гаманців Apple та Google на своїх пристроях, а потім здійснюють шахрайські транзакції або продають ці пристрої з попередньо завантаженими гаманцями.
Кардінг – нелегальний бізнес, пов’язаний із викраденням, продажем і використанням даних платіжних карток – довгий час залишався сферою впливу російських хакерів. Проте масове впровадження більш захищених карток із чіпом у США значно послабило цей ринок. Водночас китайські кіберзлочинні угруповання впроваджують нові схеми, що повертають інтерес до карткового шахрайства: вони використовують фішингові дані, щоб інтегрувати викрадені картки в мобільні гаманці. Це дозволяє їм здійснювати онлайн-покупки та оплачувати товари у звичайних магазинах, використовуючи сучасні платіжні технології.
Якщо ви користуєтесь мобільним телефоном, є велика ймовірність, що за останні два роки ви отримували хоча б одне фішингове повідомлення, яке видавало себе за Поштову службу США, нібито для стягнення неоплаченої доставки, або SMS-повідомлення, що маскувалося під оператора місцевої платної дороги, попереджаючи про несплачені збори.
Ці шахрайські повідомлення розсилаються через складні фішингові набори, які продають кіберзлочинці з материкового Китаю. Однак це не класичний SMS-фішинг (так званий «смішинг»), адже вони повністю обходять мобільні оператори. Натомість зловмисники використовують служби Apple iMessage та RCS – аналогічну технологію для пристроїв Google – що дозволяє їм уникати традиційних мобільних мереж.
Якщо користувач вводить дані своєї платіжної картки на підробленому сайті, йому повідомляють, що для підтвердження операції фінансова установа надішле одноразовий пароль (OTP) на його мобільний телефон. Насправді цей код генерується банком жертви для перевірки, чи дійсно власник картки хоче прив’язати її до мобільного гаманця.
Якщо жертва вводить отриманий одноразовий код на шахрайському сайті, кіберзлочинці успішно прив’язують її картку до нового мобільного гаманця Apple або Google, який завантажується на пристрій, що перебуває під контролем шахраїв.
Форд Меррілл працює в галузі досліджень безпеки в SecAlliance, компанії CSIS Security Group. Меррілл дослідив розвиток кількох китайських угруповань, що займаються смішингом, і з’ясував, що більшість із них використовують Telegram для продажу своїх послуг, де публікують детальні відеоуроки. У цих відео шахраї демонструють, як завантажують на один мобільний пристрій кілька викрадених цифрових гаманців, а потім продають такі телефони гуртовими партіями за сотні доларів за одиницю.
«Хто сказав, що кардинг мертвий?» — зауважив Меррілл під час своєї доповіді на конференції з безпеки M3AAWG у Лісабоні, яка відбулася сьогодні. Він пояснив, що подібні пристрої фактично перетворюються на інструмент для клонування магнітних смуг карток. Один із продавців навіть зазначає, що мінімальне замовлення – 10 телефонів, а доставка здійснюється авіатранспортом.
В одному з рекламних відео можна побачити великі стоси молочних ящиків, заповнені мобільними телефонами, що готуються до продажу. При детальнішому розгляді стає помітно, що кожен пристрій має прикріплену рукописну нотатку. Вона зазвичай містить інформацію про дату завантаження мобільних гаманців, їхню кількість на телефоні та ініціали продавця.
Меррілл сказав, що один з поширених способів отримання грошей злочинними групами в Китаї за допомогою вкрадених мобільних гаманців полягає в створенні фальшивих компаній електронної комерції на Stripe або Zelle та проведенні транзакцій через ці організації — часто на загальну суму від 100 до 500 доларів.
Меррілл сказав, що коли ці фішингові групи вперше почали працювати два роки тому, вони чекали від 60 до 90 днів, перш ніж продавати телефони або використовувати їх для шахрайства. Але в наші дні цей період очікування більше схожий на сім-десять днів, сказав він.
«Коли вони вперше встановили це, актори були дуже терплячі», — сказав він. «Зараз вони чекають лише 10 днів, перш ніж [гаманці] завдадуть сильного та швидкого удару».
Зловмисники можуть не лише використовувати мобільні гаманці для покупок, але й знімати з них готівку, отримавши доступ до реальних торговельних терміналів. Вони застосовують функцію одноразової оплати, передаючи платіж між пристроями. Проте шахраї також освоюють ще більш витончені методи мобільного обману.
Меррілл виявив, що принаймні одна з китайських фішингових груп продає спеціальний додаток для Android під назвою “ZNFC”, який дозволяє здійснювати транзакції NFC на будь-якій відстані. Користувач просто підносить телефон до місцевого платіжного терміналу, що підтримує Apple або Google Pay, а програма миттєво передає платіжні дані через Інтернет, виконуючи операцію з іншого пристрою в Китаї.
Програмне забезпечення дозволяє працювати з будь-якої точки світу», — зазначив Меррілл. За його словами, розробники пропонують доступ до цієї програми за 500 доларів на місяць, надаючи можливість передавати платежі через NFC або використовувати будь-який цифровий гаманець. Окрім цього, вони забезпечують цілодобову технічну підтримку.
Вперше поширення так званого “примарного” програмного забезпечення для мобільних платежів зафіксували експерти з кібербезпеки ThreatFabric у листопаді 2024 року. Комерційний директор компанії Енді Чендлер зазначив, що з того часу вони виявили кілька злочинних угруповань у різних частинах світу, які почали використовувати цю технологію.
Серед них – організовані кримінальні групи в Європі, які застосовують аналогічні методи атак на мобільні гаманці та NFC, щоб виводити готівку через банкомати, що підтримують платежі смартфонами.
«Ніхто про це відкрито не говорить, але зараз ми спостерігаємо не менше десяти різних методів використання цієї технології, і всі вони працюють за однаковою схемою, хоч і відрізняються у деталях», — пояснив Чендлер. За його словами, масштаб проблеми значно перевищує те, що готові визнати банки.
У листопаді 2024 року сінгапурське видання The Straits Times повідомило про арешт трьох іноземців, яких завербували через соціальні платформи для участі у схемі з використанням “примарного” програмного забезпечення. Вони застосовували його для покупок у роздрібних магазинах, купуючи мобільні телефони, ювелірні вироби та золоті злитки.
«З 4 листопада принаймні 10 жертв, які стали жертвами шахрайських схем в електронній комерції, повідомили про несанкціоновані транзакції на загальну суму понад 100 000 доларів США. Гроші з їхніх кредитних карток були використані для покупки електроніки, зокрема iPhone, зарядних пристроїв і ювелірних виробів у Сінгапурі», — зазначило The Straits Times. Газета також повідомила, що 8 листопада поліція заарештувала громадян Малайзії, які діяли за схожою схемою.
За словами Меррілла, фішингові сайти, які імітують USPS і платіжні системи операторів платних доріг, містять ряд інновацій, розроблених для максимально ефективного збору даних жертв.
Наприклад, навіть якщо користувач починає вводити свої особисті та фінансові дані, але в якийсь момент вирішує не завершувати транзакцію, вся введена інформація все одно фіксується в режимі реального часу. Це відбувається незалежно від того, чи натискає відвідувач кнопку «Надіслати» чи ні.
Меррілл сказав, що людям, які надсилають дані платіжної картки на ці фішингові сайти, часто повідомляють, що їхня картка не може бути оброблена, і закликають використовувати іншу картку. Ця техніка, за його словами, іноді дозволяє фішерам викрасти більше одного мобільного гаманця на жертву.
На відміну від багатьох інших фішингових сайтів, які зберігають вкрадену інформацію безпосередньо на своїх доменах, китайські шахрайські сервіси пересилають всі дані до внутрішніх баз, що контролюються постачальниками фішингових наборів. Це гарантує, що навіть після видалення сайту зловмисники зберігають доступ до викраденої інформації.
Ще одним важливим удосконаленням стала масова генерація облікових записів Apple і Google, які використовуються для розсилки спам-повідомлень. Одна з китайських фішингових груп у своїх Telegram-каналах опублікувала знімки, на яких видно, як сотні бот-акаунтів Apple і Google завантажуються на пристрої та розташовані у великій багаторівневій стійці. Вона розміщена прямо перед оператором фішингової мережі, що керує всім процесом.
Інакше кажучи, шахрайські веб-сайти працюють у режимі реального часу, де оператори безпосередньо обробляють введені жертвами дані, поки триває розсилка нових фішингових повідомлень. За словами Меррілла, злочинці відправляють лише кілька десятків таких повідомлень одночасно, ймовірно, тому, що вся афера потребує ручного втручання операторів у Китаї. Оскільки одноразові коди, необхідні для додавання картки до мобільного гаманця, діють лише кілька хвилин, злочинцям доводиться діяти швидко.
Цікаво, що жоден із фішингових сайтів, які видають себе за операторів платних доріг чи поштові служби, не завантажується в звичайних веб-браузерах. Вони відкриваються лише у випадку, якщо система розпізнає, що відвідувач зайшов із мобільного пристрою.
«Одна з причин, чому шахраї змушують вас використовувати мобільний пристрій, – це необхідність отримати одноразовий код на той самий пристрій», – пояснює Меррілл. «Вони також прагнуть зменшити ймовірність, що ви передумаєте. А якщо їхня мета – отримати доступ до мобільного токена та вашого OTP-коду, їм потрібен оператор, який зможе оперативно все підтвердити».
Меррілл також виявив ще одну цікаву технологічну особливість китайських фішингових схем: їхні інструменти дозволяють легко конвертувати вкрадені дані платіжних карток у цифровий гаманець. Система автоматично створює зображення картки, яке ідентично відповідає дизайну карток фінансової установи жертви. Це робить процес додавання викраденої картки в Apple Pay або інший мобільний гаманець надзвичайно простим – достатньо просто відсканувати сфабриковане зображення картки за допомогою iPhone.
«Телефон недостатньо розумний, щоб визначити, чи це справжня картка, чи просто зображення», — сказав Меррілл. «Тож він сканує картку в Apple Pay, яка каже, що добре, нам потрібно підтвердити, що ви є власником картки, надіславши одноразовий код».
Наскільки прибуткові ці набори для мобільного фішингу? Найкраще припущення наразі походить від даних, зібраних іншими дослідниками безпеки, які відстежували цих передових китайських постачальників фішингу.
У серпні 2023 року охоронна фірма Resecurity виявила вразливість на платформі одного популярного китайського постачальника фішинг-кітів, яка розкрила особисті та фінансові дані жертв фішингу. Служба безпеки назвала групу Smishing Triad і виявила, що банда зібрала 108 044 платіжних карток у 31 фішинговому домені (3485 карток на домен).
У серпні 2024 року дослідник безпеки Грант Сміт виступив з доповіддю на конференції з безпеки DEFCON про відстеження Smishing Triad після того, як шахраї, підроблені Поштовою службою США, обдурили його дружину. Визначивши іншу вразливість у наборі для фішингу банди, Сміт сказав, що він зміг побачити, що люди ввели 438 669 унікальних кредитних карток у 1133 фішингових доменах (387 карток на домен).
На основі свого дослідження Меррілл сказав, що розумно очікувати від 100 до 500 доларів США втрат на кожній картці, яка перетворюється на мобільний гаманець. Меррілл сказав, що вони спостерігали майже 33 000 унікальних доменів, пов’язаних з цими китайськими групами, що перебувають у грі, протягом року між публікацією дослідження Resecurity та виступом Сміта DEFCON.
Якщо врахувати середню кількість карток у 1935 на домен і втрату в розмірі 250 доларів США за картку, то ви отримаєте близько 15 мільярдів доларів у вигляді шахрайських стягнень за рік.
Меррілл не хотів говорити, чи виявив він додаткові вразливості безпеки в будь-якому з наборів для фішингу, проданих китайськими групами, зазначивши, що фішери швидко виправили вразливості, які були публічно описані Resecurity і Smith.
Безконтактні платежі почали активно впроваджуватися в Сполучених Штатах після початку пандемії коронавірусу. Багато фінансових установ прагнули зробити процес прив’язки платіжних карток до мобільних гаманців якомога простішим для клієнтів. Як результат, основним методом автентифікації став одноразовий код, що надсилається через SMS.
Експерти зазначають, що широка залежність від одноразових кодів значно сприяла поширенню нової хвилі кардінгу. KrebsOnSecurity взяла інтерв’ю у керівника служби безпеки великої європейської фінансової установи, який побажав залишитися анонімним через обмеження у спілкуванні з пресою.
За словами експерта, розрив у часі між фішингом платіжних даних жертви та їхнім подальшим використанням у шахрайських схемах ускладнив розуміння джерел збитків для багатьох банків.
«Саме тому ця ситуація застала індустрію зненацька», — пояснює він. «Багато хто задається питанням, як таке можливо, якщо ми вже токенізували процес автентифікації. Ми ніколи раніше не бачили такої масової розсилки повідомлень та великої кількості людей, які відповідають на них, як у випадку з цими фішинговими атаками».
Щоб посилити безпеку цифрових гаманців, деякі банки в Європі та Азії тепер вимагають від клієнтів авторизуватися в мобільному додатку банку перед тим, як вони зможуть прив’язати гаманець до свого пристрою.
Для боротьби з фішинговими схемами, пов’язаними з “примарними” NFC-транзакціями, може знадобитися оновлення платіжних терміналів, щоб краще ідентифікувати платежі, що передаються з іншого пристрою. Однак експерти сумніваються, що роздрібні торговці будуть готові масово замінювати існуюче обладнання до завершення його терміну експлуатації.
Крім того, суттєву роль у поширенні шахрайських схем відіграють Apple і Google, оскільки їхні сервіси дозволяють масово створювати облікові записи, які використовуються для розсилки фішингових повідомлень. Обидві компанії мають можливість виявляти пристрої, на яких раптово додається 7-10 мобільних гаманців різних людей з усього світу. Вони також можуть рекомендувати банкам впроваджувати більш надійні методи автентифікації для захисту мобільних платежів.
Проте ні Apple, ні Google поки що не відповіли на запити про коментарі щодо цієї ситуації.
993 
283 
1297