Глобальная смишинг-кампания: мошенники атакуют водителей более чем в десяти странах

Все эти сообщения объединяет одна цель - заставить получателя оплатить вымышленный штраф, передать личные данные или установить вредоносное приложение. Злоумышленники виртуозно подделывают сообщения от имени государственных дорожных служб, операторов платных трасс и парковочных компаний. Как пояснили в Bitdefender Labs, пока не установлено, действует ли за этими атаками одна группировка. Связь между кампаниями прослеживается лишь на уровне тактик и методов доставки, а не единого источника. Отчёт исследователей детально описывает механику и региональные особенности каждой волны атак.

Механика обмана выглядит одинаково для всех стран. Пользователь получает SMS с требованием срочно погасить задолженность - срок обычно составляет от 24 до 72 часов. В противном случае мошенники угрожают дополнительными сборами, приостановкой регистрации автомобиля, судебными исками и даже арестом. Сообщение содержит ссылку, ведущую на поддельный сайт, который до мельчайших деталей копирует официальный портал госуслуг или платёжного сервиса. Жертву просят ввести данные банковской карты, личную информацию и учётные данные для входа в интернет-банк. В некоторых регионах атака не ограничивается фишингом: вместо страницы оплаты пользователь получает вредоносное приложение.

Самый масштабный удар пришёлся на Соединённые Штаты. Исследователи насчитали 17 отдельных кампаний и более 25 тысяч фишинговых ссылок, нацеленных на водителей. Злоумышленники маскируются под управления транспорта разных штатов (Калифорния, Флорида, Северная Каролина) и операторов системы взимания платы E-ZPass, SunPass и FastTrak. Особенно часто атакуют жителей Калифорнии и Техаса. Для убедительности мошенники используют подделку имени отправителя (sender ID spoofing) и рассылают сообщения с короткого номера 7726, который обычно используется для легитимных сервисов.

В Канаде схема эволюционировала в более опасную многоступенчатую атаку. Всё начинается с уведомления о штрафе за парковку, но после перехода по ссылке жертва попадает на поддельную страницу оплаты, где у неё крадут учётные данные сервиса Interac e-Transfer. Таким образом атакующие получают доступ ко всем банковским счетам.

Великобритания столкнулась с неожиданно вежливой атакой. Вместо угроз и жёстких сроков мошенники предлагают просто оплатить проезд по дороге через сервис Air-Pay. Такая низкопороговая тактика без упоминания штрафов может усыпить бдительность получателя. В Ирландии злоумышленники выдают себя за оператора электронной системы оплаты проезда eFlow, обслуживающего трассу M50.

Австралийская кампания отличается особой изощрённостью. Мошенники подделывают имя отправителя как Linkt - известного оператора платных дорог. Из-за особенностей мобильных операционных систем поддельное сообщение может отобразиться в той же ветке переписки, где хранятся настоящие уведомления от службы. Для маскировки вредоносных ссылок злоумышленники использовали более 2200 сокращённых URL-адресов.

В Новой Зеландии атакующие пошли ещё дальше, имитируя сообщения от имени полиции и министерства юстиции. Домены мошенников содержат слово government, что создаёт ложное впечатление официальности. Французских водителей атакуют от имени службы взимания платы ULYS, причём сообщения написаны на безупречном французском языке. В Люксембурге мошенники задействуют подделку официального государственного портала Guichet.lu, снабжая сообщения вымышленными номерами дел.

Колумбия стала второй по масштабу целью. Там зафиксировано более 11 тысяч мошеннических сообщений, распространяемых через сменяющие друг друга короткие номера. В Испании атаки маскируются под уведомления от управления дорожного движения DGT и сервиса miMultas. Бразильская кампания сочетает штрафы с налоговыми угрозами, привязанными к идентификационному номеру налогоплательщика (CPF).

Наиболее опасный сценарий разворачивается в Индии. Там мошенники не просто воруют платёжные данные, а устанавливают на устройство жертвы троянскую программу. Сообщения имитируют уведомления от министерства дорожного транспорта (MoRTH) и оператора сотовой связи Airtel. Злоумышленники распространяют APK-файл под видом приложения для оплаты штрафа e-challan. После установки программа загружает поддельный фишинговый интерфейс через встроенный браузер WebView, но настоящая угроза скрыта глубже. Вредонос собирает данные об устройстве, номере телефона, сведения о SIM-карте и перехватывает все входящие SMS-сообщения. Особо опасна фильтрация по ключевым словам, связанным с банковскими операциями.

Управление заражённым устройством осуществляется через двойную инфраструктуру. Через Telegram-ботов злоумышленники получают украденные данные в реальном времени, а Firebase Realtime Database используется как панель удалённого контроля. Атакующие могут пересылать входящие SMS на свои номера, отправлять сообщения с телефона жертвы и управлять переадресацией вызовов. Фактически телефон превращается в полностью контролируемое устройство.

Для обхода защитных механизмов мошенники применяют несколько хитростей. В сообщениях для iOS они просят получателя сначала ответить Y, после чего ссылка становится активной. Также используются символы кириллицы, похожие на латинские буквы, чтобы обойти спам-фильтры. Домены постоянно меняются, что позволяет кампаниям оставаться активными даже после блокировки отдельных ссылок.

В условиях такой масштабной угрозы водителям по всему миру стоит помнить главное правило: государственные органы и транспортные службы никогда не рассылают уведомления о штрафах через SMS со ссылками на оплату. Любое подобное сообщение с требованием срочно перейти по ссылке - почти наверняка мошенничество. Не стоит нажимать на подозрительные ссылки и тем более устанавливать приложения из непроверенных источников. Лучше самостоятельно зайти на официальный сайт службы и проверить наличие задолженности.

MD5

• 014cda697a053d39f0504f626cb4aa4b
• 116b2280004a9d313a30acb767b1a85e
• 25604ed81bc7b603897e390c3c7920e0
• 3711004997a5efc09e3eefab8b2fa91f
• 3c45b541cb7f29bb60a83564850e775a
• 71bd06e73ad26ccf19cbc59c02630f14
• a2b03b138ec0a6263b73e17372063345
• bcc411c84a3ba169e1f989929115834f
• ce83808d52dcfff0c6f96ee5874fd841
• fdd449fc92ea92b8a5b5478b56c56ecd