Глобальные фишинговые атаки под видом уведомлений о доставке: злоумышленники эксплуатируют доверие к логистическим сервисам

Масштаб проблемы отражает глубину интеграции логистических сервисов в современную жизнь. Согласно отчёту Всемирного почтового союза, почтовые операторы обслуживают 7.3 миллиарда человек, а вклад сектора в мировую экономику настолько значителен, что падение ВВП страны при его остановке может достигать 7%. В 2022 году по миру было отправлено около 161 миллиарда посылок, причём основная доля пришлась на Китай (110 млрд), США (21 млрд) и Японию (9 млрд). На этом фоне мошеннические схемы, связанные с доставкой, получают беспрецедентный охват.

Стандартный сценарий атаки начинается со SMS-сообщения, которое имитирует коммуникацию от известной курьерской службы. В нём утверждается, что доставка не удалась из-за неверного адреса, неуплаты таможенного сбора или иной причины, а посылка возвращается отправителю. Для срочного решения проблемы получателю предлагается перейти по ссылке и обновить данные или оплатить небольшой сбор. С психологической точки зрения такая тактика эффективна: сообщение выглядит официальным, срочным и встраивается в привычный пользователю контекст получения служебных SMS от служб доставки.

Аналитики Group-IB в ходе исследования выделили ключевые технические особенности кампании. Для доставки сообщений злоумышленники используют два основных метода. Первый - отправка с анонимных номеров, формально соответствующих местным телефонным кодам, что повышает доверие жертвы. Второй и более изощрённый метод - подмена идентификатора отправителя (Sender ID spoofing). Используя нелегальные SMS-шлюзы, атакующие могут отправлять сообщения, которые операционная система телефона автоматически группирует в один поток с легитимными уведомлениями от настоящей курьерской компании. В результате фишинговое SMS визуально сливается с историей настоящих переписок, практически полностью нивелируя бдительность пользователя.

За фишинговой ссылкой скрывается тщательно сконструированная страница, оптимизированная для мобильных устройств. Её контент может меняться в зависимости от пользовательского агента, чтобы полноценно отображаться только на смартфонах. Для маскировки злоумышленники активно используют определённые маски URL, такие как "/index.html", "/i" или "/eg", а также регистрируют домены в дешёвых и слаборегулируемых доменных зонах верхнего уровня. Согласно данным исследования, наиболее часто в схемах встречаются домены в зонах ".xyz", ".help", ".sbs", ".shop" и ".click". Это позволяет оперативно развёртывать и сбрасывать инфраструктуру.

Угроза не ограничивается только имитацией почтовых служб. Схема масштабируется на другие отрасли, включая финансовый сектор, телекоммуникации, сервисы мобильности и платформы электронной коммерции, особенно в регионе Ближнего Востока и Африки. Анализ кода фишинговых страниц выявил высокий уровень организации атакующих. В HTML-код встраиваются скрипты, которые устанавливают постоянное WebSocket-соединение с сервером злоумышленников. Это позволяет в реальном времени перехватывать все нажатия клавиш, включая ввод номеров банковских карт, CVV-кодов и одноразовых паролей. Для отслеживания сессий каждой жертвы скрипт генерирует уникальный UUID-токен.

Хотя установить конкретную группировку, стоящую за всеми атаками, сложно, исследователи отмечают, что инфраструктура и методы во многом соответствуют активности, ассоциированной с платформой Phishing-as-a-Service (PhaaS, «фишинг как услуга») под названием Darcula. Этот китайскоязычный сервис, появившийся в 2023 году, предлагает преступникам доступ к более чем 20 000 поддельных доменов и 200 шаблонам фишинговых страниц, что демократизирует проведение сложных атак для широкого круга злоумышленников.

Защита от подобных угроз требует комплексного подхода как на уровне пользователей, так и компаний. Для частных лиц фундаментальным правилом остаётся никогда не переходить по ссылкам из непроверенных SMS или сообщений в мессенджерах. Статус доставки всегда следует проверять, вручную заходя на официальный сайт курьерской службы и используя только трек-номера из подтверждённых покупок. Следует настороженно относиться к сообщениям, создающим искусственное чувство срочности, и всегда проверять доменное имя в ссылке на наличие подозрительных зон. Компаниям, в свою очередь, необходимо усиливать безопасность доменов с помощью технологий DMARC, SPF и DKIM, активно мониторить случаи использования своего бренда в мошеннических кампаниях и вести просветительскую работу с клиентами, наглядно показывая примеры фишинговых атак. Сотрудничество с мобильными операторами для фильтрации мошеннических SMS-паттернов также может значительно снизить успешность атак. В конечном счёте, противодействие таким схемам строится на повышении цифровой грамотности и внедрении многоуровневой проверки любых запросов, связанных с платежами или персональными данными.

Domains

• estafmox.help
• nrcsnap.com
• pkgov.shop
• posties.icu