В мире киберпреступности появился новый инструмент, который способен обходить даже многофакторную аутентификацию (MFA). Речь идёт о платформе "Phoenix System" - это централизованная инфраструктура для фишинга как услуги (Phishing-as-a-Service, то есть преступная модель с подпиской на готовые инструменты для кражи данных). В отличие от традиционных атак, она позволяет злоумышленникам не только рассылать вредоносные сообщения, но и в реальном времени вмешиваться в сеансы жертв, перехватывая одноразовые пароли. Исследователи Group-IB в рамках анализа мировых smishing-кампаний (фишинг через SMS) выявили эту систему, охватывающую регионы Азиатско-Тихоокеанского региона, Латинской Америки, Европы и Ближнего Востока с Африкой.
Описание
Согласно данным Group-IB High-Tech Crime Trends Report 2026, в прошлом году три из пяти наиболее атакуемых фишерами отраслей - это финансовые услуги, логистика и телекоммуникации. SMS-фишинг остаётся одним из самых эффективных и быстрорастущих мошеннических векторов. А появление платформ типа PhaaS многократно усилило угрозу: преступники получают готовые шаблоны, механизмы фильтрации трафика и панели управления пострадавшими. Теперь для запуска масштабной кампании достаточно оплатить подписку - не нужно быть программистом.
С января 2025 года специалисты Group-IB обнаружили резкий рост двух доминирующих сценариев smishing-атак. Первый - "начисление бонусных баллов", где мошенники выдают себя за банки и операторов связи. Второй - "неудачная доставка посылки", где они подражают логистическим и курьерским компаниям. Несмотря на разные легенды, обе кампании имели настолько схожие операционные детали, что аналитики заподозрили общую инфраструктуру. И они оказались правы. Подробный отчёт Group-IB раскрывает механизм работы сети.
Исследователи использовали собственную технологию графового анализа, чтобы сопоставить IP-адреса, домены и тактики. Выяснилось, что обе кампании не просто похожи - они используют один и тот же хостинг и одинаковые методы компрометации через мобильные устройства. Вектор атаки стандартен: сообщение с чувством срочности (баллы "сгорят через 24 часа" или посылку "вернут отправителю"), фишинговая страница, запрос данных карты для оплаты "пересылки приза" или "повторной доставки". Но главное открытие - это единая административная панель "Phoenix System".
Эта панель оказалась эволюцией предыдущей системы под названием "Мышь". Сравнение исходного кода показало почти идентичную структуру файлов, каталогов и скриптов JavaScript. Фактически, разработчики просто переупаковали старый продукт, добавив новые возможности. Среди них - геофильтрация (доступ к фишинговым страницам только с IP-адресов целевой страны), блокировка сканеров безопасности (чтобы автоматизированные системы не раскрыли страницу) и перенаправление нецелевого трафика на страницы с ошибками 404 или 403. Но самая опасная функция - "живое взаимодействие" с жертвой. Когда пользователь вводит одноразовый пароль (OTP), система немедленно оповещает оператора. Мошенник может в реальном времени подменить страницу, показать сообщение об ошибке и заставить повторно ввести код. Это позволяет обойти многофакторную аутентификацию, которую традиционно считают надёжной защитой.
Продажа доступов к Phoenix System ведётся через Telegram. Существуют целые каналы с тысячами подписчиков, где злоумышленники общаются на китайском и английском языках. По данным Group-IB, стоимость годовой подписки составляет около 2000 долларов США (более дорогие тарифы - на короткие сроки). В комплект входят не только сама панель, но и готовые шаблоны под конкретные компании, обучающие материалы и техническая поддержка. При этом фишинговые страницы для разных регионов (Азия, Европа, Африка, Латинская Америка) хранятся в централизованной библиотеке тем.
Важно отметить, что в ходе кампаний мошенники переводят атаки на новый уровень. Если раньше они часто использовали обычные абонентские номера для рассылки, то теперь всё чаще применяют поддельные базовые станции (BTS). Такое устройство заставляет смартфоны подключаться к нему, а не к легальной вышке оператора. В результате SMS-сообщения внедряются напрямую, минуя фильтры и системы проверки отправителя. Текст приходит в папку обычных сообщений и выглядит как настоящая рассылка банка или перевозчика.
Group-IB уже выявила более 2500 фишинговых доменов, связанных с этими операциями, и зафиксировала атаки на более чем 70 организаций по всему миру. В первую очередь страдают финансовый сектор, телеком и логистика - отрасли, где люди привыкли получать SMS от компаний и склонны доверять таким уведомлениям.
С одной стороны, обнаружение панели - это успех специалистов по киберразведке: они могут отслеживать инфраструктуру и помогать в её нейтрализации. С другой - сама модель PhaaS делает фишинг доступным даже для малоопытных преступников. Теперь любой желающий может купить готовый инструмент и запустить кампанию, не вникая в технические детали. А возможность перехватывать OTP в реальном времени ставит под вопрос эффективность MFA, основанной на SMS-кодах. В таких условиях биометрия или аппаратные токены (например, YubiKey) выглядят куда надёжнее.
Для организаций, особенно из атакуемых отраслей, важнейшим шагом становится непрерывный мониторинг бренда в цифровой среде - выявление подставных доменов и страниц, похожих на официальные. Также необходимо оперативно взаимодействовать с операторами связи для блокировки вредоносных номеров и поддельных базовых станций. Интеграция продвинутых систем анализа угроз позволяет заранее узнавать о новых фишинговых наборах и принимать меры до начала атак.
Что касается простых людей, единственное правило не меняется: никогда не переходите по ссылкам из неожиданных SMS, какими бы срочными они ни казались. Любое сообщение с требованием ввести данные карты или одноразовый пароль должно вызывать немедленное подозрение. Настоящие банки и курьерские службы не присылают ссылки с требованием оплатить "символический сбор" для получения посылки или приза. Лучше проверить информацию через официальное приложение или позвонить в службу поддержки по номеру, указанному на сайте компании.
Платформа Phoenix System - очередное звено в эволюции киберпреступности. Она делает smishing не только массовым, но и персонализированным, адаптируемым под разные страны и банки. И пока эта модель приносит деньги организаторам, мы будем видеть новые модификации и расширение географии атак. Поэтому бдительность и техническая защита остаются единственными реальными барьерами на пути злоумышленников.
Индикаторы компрометации
IPv4
- 101.32.186.29
- 154.91.90.0
- 156.245.145.174
- 156.245.146.210
- 23.95.166.127
- 38.162.114.0
- 43.133.0.0
- 43.134.0.0
- 43.134.12.32
- 43.134.239.46
- 43.153.0.0
- 43.154.31.214
- 43.156.61.150
- 43.160.192.0
- 43.162.0.0
- 43.163.100.238
- 45.203.220.0
- 47.80.0.0
- 47.80.64.106
- 47.80.70.114
- 47.80.79.203
- 8.212.128.102
- 8.220.130.133
- 8.220.190.2
