Масштабная фишинговая кампания под видом DMV: тысячи американцев стали жертвами мошенников из Китая

Анализ кампании показал, что злоумышленники использовали общую инфраструктуру, однотипные доменные имена и повторяющиеся элементы веб-дизайна, что указывает на высокую степень организованности. Кроме того, обнаружены технические признаки, связывающие атаку с китайской хакерской группировкой. Учитывая масштабы кампании и использование доверия к государственным учреждениям, эксперты призывают граждан проявлять бдительность, а компании - усиливать защиту от подобных атак.

Как работала схема обмана?

Основным каналом распространения фишинговых сообщений стали SMS, отправляемые с поддельных номеров, которые маскировались под официальные контакты DMV. Многие из этих номеров были зарегистрированы на Филиппинах, но использовались технологии подмены Caller ID, чтобы сообщения выглядели более правдоподобно. В некоторых случаях мошенники также рассылали письма с подозрительных электронных адресов. Текст сообщений содержал угрозы приостановки водительских прав или судебного преследования, а также ссылки для «оплаты штрафа». Для большей убедительности в сообщениях даже указывались вымышленные статьи законодательства, например, «[Название штата] Administrative Code 15C-16.003».

Перейдя по ссылке, жертва попадала на поддельный сайт, стилизованный под официальный портал DMV её штата. Там пользователю сообщалось о «неуплаченном штрафе» и предлагалось срочно решить проблему. После попытки оплаты небольшой суммы (обычно около $6,99) жертву перенаправляли на форму, где требовали ввести полное имя, домашний адрес, email, номер телефона и реквизиты кредитной карты.

Технические детали атаки

Анализ инфраструктуры показал, что злоумышленники использовали шаблонные доменные имена вида https://[state_ID]dmv.gov-[4-letter-string].cfd/pay. Хотя атака охватила множество IP-адресов и тысяч доменов, значительная часть из них была связана с одним известным вредоносным IP - 49.51.75[.]162.

На этом IP размещались шесть HTML-файлов, каждый из которых соответствовал определённому штату: Пенсильвании, Джорджии, Техасу, Калифорнии, Нью-Джерси, Нью-Йорку и Флориде. Поддельные страницы DMV использовали дешёвые доменные зоны, такие как .cfd и .win, что облегчало массовую регистрацию доменов.

Все фишинговые сайты использовали одни и те же DNS-серверы - alidns.com и dns8.alidns.com, а контактное лицо в SOA-записях указывало на [email protected] - что является явным указанием на китайское происхождение операции.

Кроме того, на всех сайтах присутствовали одни и те же файлы: два JavaScript (C18UmYZN.js, fliceXIj.js), CSS-стиль (C0Zfn5GX.css) и изображения (BHcjXi3x.gif, BkBiYrmZ.svg). Повторяемость этих элементов свидетельствует о том, что злоумышленники использовали готовый фишинговый набор (phishing kit), который позволяет быстро разворачивать поддельные страницы. В исходном коде также были обнаружены комментарии на китайском языке, что дополнительно подтверждает связь с китайской хакерской группировкой.

Кто стоит за атакой?

Хотя окончательная атрибуция требует дополнительных данных, ряд факторов указывает на китайских злоумышленников. Помимо китайских DNS-провайдеров и комментариев в коде, анализ показал, что инфраструктура кампании соответствует методам, характерным для фишинговых операций, рекламируемых на китайских киберпреступных форумах.

Специалисты компании Cyberint также обнаружили сходство с ранее известным фишинговым набором под названием «Lighthouse», который ранее использовался для атак на DMV США.

Последствия и реакция властей

Эта кампания стала одной из самых масштабных смишинг-атак в истории США. Её широкое освещение в СМИ, включая CBS News, Fox News и The New York Post, привлекло внимание общественности и заставило власти штатов выпустить официальные предупреждения. Власти Нью-Йорка, Нью-Джерси, Пенсильвании, Флориды, Техаса и Калифорнии через свои веб-сайты и соцсети призвали граждан не переходить по подозрительным ссылкам и напомнили, что DMV никогда не рассылает SMS с требованием оплаты штрафов.

ФБР через центр IC3 сообщило о более чем 2000 жалоб, связанных с подобными мошенническими схемами, всего за один месяц. Однако реальное число пострадавших может быть значительно выше, учитывая небольшую сумму «штрафа» и убедительность сообщений.

В ответ на угрозу федеральные власти начали распространять разведданные о доменах, IP-адресах и фишинговых наборах среди правоохранительных органов и кибербезопасностных компаний. Также усиливается сотрудничество между телеком-провайдерами и IT-службами для блокировки вредоносных ресурсов и повышения осведомлённости пользователей.

Вывод

Эта атака в очередной раз демонстрирует, насколько изощрёнными становятся методы социальной инженерии. Мошенники используют доверие к государственным учреждениям, чтобы выманивать конфиденциальные данные. В условиях роста подобных угроз критически важно обучать пользователей основам кибербезопасности, а компаниям - внедрять современные системы защиты от фишинга. Только комплексный подход позволит снизить риски и минимизировать ущерб от таких атак в будущем.

IPv4

• 49.51.75.162

URLs

https://[идентификатор_штата]dmv.gov-[4-буквенная-строка].cfd/pay

SHA256

• 288f3cb007f3ad99835a541b6be7e07f64aa7f7a56025518f02a1f0af41585b0
• 2f71a0956b7f073735dab092b0fb8e4c222538cf0a6bbdf7517a02ece6934157
• 5c7b246ec5b654c6ba0c86c89ba5cbaa61d68536efc32283da7694ed8e70b16d
• 5df0fcc2b6b3d3e52fb635c0b7bac41d27b5b75cbfeb16c024d66a59657d5535
• 94126506523ebbf35ec9689f593d061453ab39395bf63098464dcbc270ee7f48
• e88b894cc69c4f4ec5f6fdb2e7a0314601241571bf02154412c0168973fdc4df